服务器,一般会给普通用户sudo权限,sudo权限是能修改root用户密码,这个是很危险的事情
1.进入服务器,root用户下,执行一下编辑命令,不能用vi直接编辑
$sudo visudo
2.找到默认授权,默认拥有全部权限,如下
%admin ALL=(ALL) ALL
%sudo ALL=(ALL) ALL
3.更改为,如下
%admin ALL=/usr/sbin/*,/sbin/*,/usr/bin/*,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
%sudo ALL=/usr/sbin/*,/sbin/*,/usr/bin/*,!/usr/bin/passwd,!/usr/sbin/visudo,!/usr/sbin/useradd,!/usr/sbin/userdel
限制用户组admin,sudo禁止使用命令passwd,visudo,useradd,userdel等命令
4.创建admin用户组
groupadd admin
5.将需要的普通用户加入该组,就可以限制sudo权限
usermod -a -G admin xxx