Editando arquivo sudoers para restringir os comandos de um usuário

É possível editar o arquivo sudoers para que um usuário possa usar o sudo para qualquer comando, exceto um especificado? Eu acredito que é verdade que o arquivo sudoers pode ser configurado para que um usuário possa executar apenas uma determinada lista de comandos.

EDIT: os comandos que realmente quero remover são parar e reiniciar ... isso me faz pensar que há chamadas especiais do sistema para parar e reiniciar. Você pode tirar chamadas do sistema de um usuário? Caso contrário, é porque o sistema de permissão unix abstrai as chamadas do sistema negligenciando isso?

Outra maneira de analisar é que, se os usuários têm acesso root irrestrito, eles podem facilmente obter acesso root completo.

Embora você possa resolver algo, isso seria facilmente contornado.

Embora o SElinux seja uma maneira possível, ainda é preciso muito para aprender.

Para fazer o que você deseja (mantenha o formulário do usuário em execução, interrompa, reinicie e encerre), você terá que procurar nas coisas do SElinux para impedir que o usuário faça essas chamadas. Caso contrário, o usuário executará primeiro / bin / sh primeiro e depois executará / bin / halt sem passar pelo sudo.

Registre tudo o que eles fazem via sudo, presumivelmente, você tem uma maneira de passar o ponto para não fazê-lo novamente.

Defaults logfile=/var/log/sudolog 

registrará todos os comandos que executarem, pesquise no google um pouco para obter mais informações.

Sim e não ... Você pode impedir que um usuário execute um arquivo específico precedendo o arquivo com um estrondo (!); No entanto, você não pode impedir que um usuário copie o arquivo para outro local e execute-o a partir daí.

User_Alias    ADMINS = peter, bob, bunny, %operator

ADMINS        ALL    = !/usr/bin/su, !SHELLS

Concedendo acesso a arquivos específicos como outro usuário

Se o usuário realmente deseja reiniciar, ele encontrará uma maneira. sudo -s, sudo -i, sudo $EDITOR /etc/sudoers... pode ser usado para remover suas restrições.

E em sistemas tipo Unix, você pode reiniciar o sistema desde que seja root (uid 0). Se você encontrar uma maneira de restringir essas chamadas do sistema, poderá fazer o seguinte:

usuário $ echo b | sudo tee / proc / sysrq-trigger

ou uma variação dos mesmos. Ou reinicie causando um pânico no kernel. Ou...

Por fim, ter acesso root geralmente permite remover as restrições existentes.

com certeza, como chamada de raiz visudo e impeça 'user' de executar / sbin / halt:

user ALL=(ALL) NOPASSWD: !/sbin/halt

Existe um risco de se fazer dessa maneira: muitas vezes existem maneiras de se fazer a mesma ação. Por exemplo, o telnit 6 ou o init 6 também reinicia. Pode haver uma maneira de forçar o kernel a despejar o núcleo e a reinicializar também.

A linha a seguir deve permitir que o usuário "jim" execute tudo, exceto / usr / bin / kill e / usr / bin / su.

jim          ALL= !/usr/bin/kill,!/usr/bin/su

Isso não foi testado e o YMMV, mas que tal configurar uma cmd_list dos comandos que você não deseja executar e, em seguida, usar! Cmd_list para o grupo / usuário especificado?

Eu não tenho acesso para testar isso e apenas olhei a página do manual on-line em Manual do Sudoers, para que alguns especialistas me corrijam aqui se eu estiver errado