当启用OS Login并且用户通过具有“Compute OS Login”或“Compute OS Admin Login”角色被授予访问权限时,他们可以运行 sudo。
根据我的经验,每个用户的 sudoers 文件始终具有此权限:
# cat /var/google-sudoers.d/first_last_example_com
first_last_example_com ALL=(ALL) NOPASSWD: ALL
是否可以为特定用户或组自定义这些权限甚至完全禁用 sudo?
具有该角色的用户
roles/compute.osLogin应该能够登录但不能运行sudo。该角色
roles/compute.osAdminLogin需要登录和使用sudo。仔细检查您分配给用户的 IAM 角色。
有些角色包括
roles/compute.osAdminLogin,因此您可能会在没有意识到的情况下授予管理员权限。如果用户具有原语roles/owner或roles/admin角色,或者如果他们具有roles/compute.instanceAdmin,则这些角色已经包括具有管理员权限的实例访问角色。Google Compute Engine 支持启动脚本 链接。您可以
google-sudoers通过添加以下脚本来删除组中的用户。