AI 助理
备案控制台
开发者社区 云计算 文章 正文

sudo的安全策略阻止/允许用户执行指定的命令

2023-11-14 293
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: sudo的安全策略阻止/允许用户执行指定的命令


sudo用户组的用户可以使用sudo以root权限运行命令。但是某些场景下可能要求用户可以执行部分命令,不能执行部分命令。这时可以通过配置sudo的默认安全策略插件sudoers来达到效果。

# 将用户移除sudo用户组(如果原来在的话)
# 确认/etc/sudoers配置策略
# 如果没有改动过该文件,其大致如下:
root  ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
  • 编辑用户安全策略配置
    在/etc/sudoers.d/目录下建立与用户同名的策略文件,如:
visudo -f /etc/sudoers.d/test # 其中“test”为测试建立的用户名
# 期望用户test 可以以管理员权限执行/usr/bin、/bin下的所有命令,但是不能修改其他用户密码以及kill其他用户进程,可以配置如下:
test ALL=/usr/bin/, !/usr/bin/passwd, /bin/,  !/bin/kill
# 测试一下,会发现passwd被阻止了:
sudo passwd
[sudo] password for test: 
Sorry, user test is not allowed to execute '/usr/bin/passwd' 
as root on zzz.
# 在策略文件中配置:!/usr/bin/passwd user_name,该策略可以阻止修改特定用户的密码。可以得知,该策略可以阻止特定参数的命令


讓丄帝愛伱
目录
相关文章
摘星.
|
5月前
|
监控 Linux 应用服务中间件
Linux多节点多硬盘部署MinIO:分布式MinIO集群部署指南搭建高可用架构实践
通过以上步骤,已成功基于已有的 MinIO 服务,扩展为一个 MinIO 集群。该集群具有高可用性和容错性,适合生产环境使用。如果有任何问题,请检查日志或参考MinIO 官方文档。作者联系方式vx:2743642415。
摘星.
1417 57
上云活动指导
|
缓存 Linux 开发工具
CentOS 7- 配置阿里镜像源
阿里镜像官方地址http://mirrors.aliyun.com/ 1、点击官方提供的相应系统的帮助 :2、查看不同版本的系统操作: 下载源1、安装wget yum install -y wget2、下载CentOS 7的repo文件wget -O /etc/yum.
上云活动指导
255374 0
小蜗牛耶
|
缓存 Linux
Centos7配置国内yum源和epel源
本篇内容记录了Centos7如何配置国内yum源和epel源。
小蜗牛耶
13813 1
汀丶人工智能
|
人工智能 API 决策智能
智胜未来:国内大模型+Agent应用案例精选,以及主流Agent框架开源项目推荐
【7月更文挑战第8天】智胜未来:国内大模型+Agent应用案例精选,以及主流Agent框架开源项目推荐
汀丶人工智能
15173 134
智胜未来:国内大模型+Agent应用案例精选,以及主流Agent框架开源项目推荐
猫头虎
|
关系型数据库 MySQL Go
MySQL连接错误1045:完美解决指南
MySQL连接错误1045:完美解决指南
猫头虎
11210 0
wljslmz
|
网络协议 Linux 网络安全
Iptables 命令完整指南
【8月更文挑战第20天】
wljslmz
4135 0
Iptables 命令完整指南
Ant.Dream
|
编译器 API Android开发
Android经典实战之Kotlin Multiplatform 中,如何处理不同平台的 API 调用
本文介绍Kotlin Multiplatform (KMP) 中使用 `expect` 和 `actual` 关键字处理多平台API调用的方法。通过共通代码集定义预期API,各平台提供具体实现,编译器确保正确匹配,支持依赖注入、枚举类处理等,实现跨平台代码重用与原生性能。附带示例展示如何定义跨平台函数与类。
Ant.Dream
380 0
LKIDTI数据
|
12月前
|
Ubuntu Linux 网络安全
Docker&Docker Compose安装(离线+在线)
Docker&Docker Compose安装(离线+在线)
LKIDTI数据
13837 1
No8g攻城狮
|
安全 Linux 网络安全
【工具使用】几款优秀的SSH连接客户端软件工具推荐FinalShell、Xshell、MobaXterm、OpenSSH、PUTTY、Terminus、mRemoteNG、Terminals等
【工具使用】几款优秀的SSH连接客户端软件工具推荐FinalShell、Xshell、MobaXterm、OpenSSH、PUTTY、Terminus、mRemoteNG、Terminals等
No8g攻城狮
117822 0

热门文章

最新文章

  • 1
    如何配置 Java 环境变量:设置 JAVA_HOME 和 PATH
  • 2
    什么是Widevine?Widevine DRM详解
  • 3
    Linux下如何查看高CPU占用率线程 LINUX CPU利用率计算
  • 4
    什么是tomcat?tomcat是干什么用的?
  • 5
    Webpack和Vite的区别
  • 6
    微信小程序:本地开发环境和线上环境配置
  • 7
    数据人必读!玩转数据可视化用这个就够了——高德LOCA API 2.0升级来袭!
  • 8
    Point Grey articles link
  • 9
    数据库负载急剧提高的应急处理(二)
  • 10
    软刀子割肉:智能电视的软陷阱
  • 1
    《政企API网关:安全与性能平衡的转型实践》
    37
  • 2
    《SaaS网关多租户治理:从串流到稳控的实践》
    30
  • 3
    从DQN到Double DQN:分离动作选择与价值评估,解决强化学习中的Q值过估计问题
    31
  • 4
    Aquarius 官方发布 3 级海面密度标准映射图像季节性数据 V5.0
    71
  • 5
    【Azure App Service】Root CA on App Service
    46
  • 6
    基于springboot的非遗传承宣传平台
    47
  • 7
    Proxmox Mail Gateway 9.0 正式版发布 - 全面的开源邮件安全平台
    34
  • 8
    VMware NSX 9.0.1.0 发布 - 下一代网络安全虚拟化平台
    62
  • 9
    爬坑 10 年!京东店铺全量商品接口实战开发:从分页优化、SKU 关联到数据完整性闭环
    37
  • 10
    VMware vSphere 9.0.1.0 发布 - 企业级工作负载平台
    35

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云免费云服务器:个人用户每月750小时免费