Mając wpis w /etc/sudoers:
%sudo ALL=(ALL) ALL, !/usr/bin/bash
Zablokujemy dostęp do shella przez sudo. Niestety po skopiowaniu pliku bash do np.: /tmp będziemy w stanie uruchomić shella poprzez sudo. Jak zablokować użytkownikowi, znajdującemu się w grupie SUDO, możliwość uruchomienia shella z prawami użytkownika root?
Jak "informatycznie" zdefiniować, co to jest shell z prawami root, po czym sudo miałoby to rozpoznawać? Jeśli damy komuś uprawnienia do uruchamiania każdej binarki z uprawnieniami roota poza shellem, to odpalenie shella i tak nie będzie trudne poprzez różne zabiegi w których wymusimy by aplikacja do której mamy dostęp za nas uruchomiła tego shella.
Podchodzisz źle do problemu. Pozwalając na uruchamianie prawie wszystkich programów - nie jesteś w stanie nic zablokować - ponieważ praktycznie dowolny program można zastąpić funkcjonalnie jakimś innym.
Jedyna opcja, która ma sens jeżeli chodzi o bezpieczeństwo to pozwolenie na uruchamianie konkretnych programów. Czy to wskazując je w prost, czy też np. ścieżką.
