visudo中的命令限制 - Linux

Irma avatar
By Irma
at 2015-08-23T09:31

Table of Contents

鳥哥有提到
myuser1 ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*,
!/usr/bin/passwd root
這樣可以避免
sudo passwd
sudo passwd root
這樣修改root的指令,可是我這樣修改,卻還是可以被執行 sudo passrd root

我的設定如下
sxxx ALL=(root) !/usr/bin/passwd, !/usr/bin/passwd root,
!/usr/bin/passwd Yuser1, /usr/bin/passwd [0-z]*

這樣
sudo passwd
確實無法執行,但是下面這個
sudo passwd root
sudo passwd Yuser1
卻可以,我搞不懂這個邏輯,看起來是後面允許的條件蓋掉前面的限制,
並不是按照寫的順序排優先權或是按照交集計算權限,那鳥哥是如何辦到的?

--
起初,他們追殺共產主義者,我沒有說話,因為我不是共產主義者;
接著,他們追殺猶太人,我沒有說話,因為我不是猶太人;
後來,他們追殺工會成員,我沒有說話,因為我不是工會成員;
此後,他們追殺天主教徒,我沒有說話,因為我是新教教徒;
最後,他們奔我而來,卻再也沒有人站起來為我說話了。
《First They Came(他們首次來時)》,Martin Niemoller牧師(1892-1984)

--
Tags: Linux

All Comments

Lauren avatar
By Lauren
at 2015-08-27T19:09
是後面的有優先權,所 sudo passwd root 在鳥哥的例子
Yuri avatar
By Yuri
at 2015-08-30T14:27
優先權在 !/usr/bin/passwd root 不被允,但你的變成
/usr/bin/passwd [0-z]* 被允了
Michael avatar
By Michael
at 2015-08-31T16:20
當然,這種寫法 sudo passwd -e USER 之類就不被允
Iris avatar
By Iris
at 2015-09-03T01:15
我把/usr/bin/passwd [0-z]*移到最前面,結果passwd全部被禁
看來確實後面有修先權,但現在全禁我又搞不懂了。
Andrew avatar
By Andrew
at 2015-09-06T16:56
因為你還有 !/usr/bin/passwd 禁掉了
Eartha avatar
By Eartha
at 2015-09-07T19:57
所以要!/usr/bin/passwd, /usr/bin/passwd [0-z]*, 其
他禁掉的
Puput avatar
By Puput
at 2015-09-08T18:15
一般 sudo 設定比較 ok 作法是允許放前面,後面放排除的
Victoria avatar
By Victoria
at 2015-09-12T21:10
允許變更任何帳號的密碼,但是不允許變更 root 與 abc
帳號密碼的話,可以這樣設定
Rosalind avatar
By Rosalind
at 2015-09-15T08:45
/usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd root,
!/usr/bin/passwd abc
Skylar DavisLinda avatar
By Skylar DavisLinda
at 2015-09-17T13:01
帳號名稱可能會有數字,上面也許可以改[a-zA-Z0-9]*
Frederica avatar
By Frederica
at 2015-09-18T21:34
要更嚴格一點再改成 [a-zA-Z][a-zA-Z0-9]*
Andy avatar
By Andy
at 2015-09-20T18:04
不用吧?sudo好像只有glob pattern不是regexp
Carolina Franco avatar
By Carolina Franco
at 2015-09-21T09:00
對喔,想得太嚴格了,整個混在一起 :))
Queena avatar
By Queena
at 2015-09-25T20:23
感謝各位,終於搞定了。
Dinah avatar
By Dinah
at 2015-09-27T08:49
在visudo禁掉passwd後還可以sudo su, sudo bash再接pass
wd嗎?
Olga avatar
By Olga
at 2015-09-28T01:32
也可以 sudo visudo 吧?
Mia avatar
By Mia
at 2015-09-30T20:32
是只有允許 passwd 命令使用,其他都禁止了

印表機墨水存量問題

Rebecca avatar
By Rebecca
at 2015-08-23T00:29
型號:Epson R290 就我所知道,就CPUS就可以列印了 也可以做簡單的管理 但是好像不會顯示墨水存量 結果讓我淡粉紅整的榨乾...(撕開墨水和真的乾了...) 目前我的方法是開VM裝驅動管理,但實在有點麻煩 不知道有沒有其他方法可以看到墨水存量之類的? -- 蘿莉無限好 ...

知名開發人員:是不是該終結OpenOffice了

Caroline avatar
By Caroline
at 2015-08-20T20:43
知名開發人員:是不是該終結OpenOffice了? GNOME開發者暨紅帽軟體工程經理Christian Schaller最近發表一封公開信给Apache基金會 及Apache的OpenOffice團隊表示,IBM一年前不再支持OpenOffice專案且功能明顯落後下, OpenOffice已走進死胡同,A ...

我該選擇哪種Linux版本

Steve avatar
By Steve
at 2015-08-20T14:51
小弟有台Lenovo的筆電最近想灌新的作業系統 那台筆電原本是跑Win8.1 x64的 想要拿來寫C++或Python 希望不要有太多無用的預設軟體 也不要太耗電 請問各位大大有無適合的Linux版本? (希望順便給是32bit還是64bit的) - ...

opensuse repositories 問題

Gary avatar
By Gary
at 2015-08-20T10:58
最近把系統從Ubuntu換成Opensuse 因為是用USB安裝 在software Repositories中openSUSE-13.2-0的URL位置 是USB,每次更新都要插USB 請問可以改成哪個線上的網址? 還是說這個Repository可以刪掉呢? 謝謝! - ...

Linux主機上架web Server

Quintina avatar
By Quintina
at 2015-08-20T10:28
請問一下, 如果今天我有兩台主機, 一台是Windows主機,一台是Linux主機, 然後Windows主機架iis, Linux主機上架任何一種Web Server(Apache、Servlet...), 但是今天只有Linux這台主機對外, Windows這台主機不對外,但是有對Linux,(Window ...