Ограничение прав sudo

Убери пользователя из группы sudo или wheel. Или, если ему нужны лишь некоторые привилегии root для конкретных действий, то разреши только их и ничего более.

Будь осторожен — право на запуск того же vi под root аналогично предоставлению самого root (юзер просто сменит настройки системы так, чтобы стать root).

Да, и если у пользователя есть физический доступ к устройству, то при обычной разбивке без шифрования root очень легко получить через single user mode или chroot с LiveCD.

Определись, что ему нужно мочь. Иначе вопрос решается очень просто, отменой всех «прав».

А вообще, sudo это весьма плохая программа, которая хоть и декларирует всякие тонкие настройки, но на деле единственный её удобный вариант использования - это выдача доступа на любые рутовые действия (то есть дублирование функционала su). Всё остальное сделать хоть и можно, но муторно и всегда будешь не уверен а не осталось ли где лазеек, ну кроме совсем тривиальных случаев. Поэтому лучше выкинь эту гадость и решай задачу другими способами.

Но сначала задачу стоит хотя бы сформулировать.

у пользователя должны быть права sudo, но их нужно ограничить

шифрование установлено, биос залочен.

visudo я тоже кстати хотел ограничить.(но это другая история)

Ну вот и ищи, как настроить sudo на выполнение только определенных команд. Вместо «черного списка» нужен «белый список».

Задача такая чтобы контролировать права пользователя на машине, в дальнейшем я поставлю FreeIPA, но на данный момент нужно по минимуму настроить права.

Какие права то? Ты либо пишешь конкретный список разрешённых действий (строго ограниченный списком), либо выдаёшь рута. Других вариантов нет. Любые общие или недоформулированные слова в списке автоматически приводят к получению достаточно хитрым юзером полных рут прав.

Но вообще повторюсь, идея «выдавать повышенные права» сама по себе дефективна. Рут это юзер системного администратора, все административные задачи должны делаться через него а не sudo-костылями. Практически весь системно-административный софт не в курсе, что запустивший его юзер может нуждаться в каких-то ограничениях.

По-минимому — это просто без прав root.

не ограничить, с неправильного входа смотришь - а разрешить пользователю на беспарольное sudo только определенный набор команд.

можно прописать всю команду вместе с параметрами в sudoers на беспарольный запуск.

user ALL=(ALL) NOPASSWD: /usr/bin/usbip attach -r 192.168.13.41 -b 1-1
и тогда будет беспарольно запускаться только данная строчка $ sudo usbip attach -r 192.168.13.41 -b 1-1
запуск usbip с другими параметрами будут обрабатываться другими правилами, т.е. будет парольным.

это просто к примеру.

ну главное это переход в root изменение passwd, shadow, sudoers

То есть если пользователь сможет выполнить sudo rm -rf /usr и к херам порушить ОС это нормально, но root он стать не должен?

Пойми, если у пользователя есть право на всё, кроме как становиться root, то сам root ему уже и не нужен…

Нужен не список того, что нельзя, а список того, что можно. И очень конкретный, строгий и точный. Даже если ты разрешишь юзеру просто монтировать usb-устройства как попало, этого уже будет достаточно для получения рут-прав (причём несколькими способами). В разрешённом списке уточнять надо прямо всё.

+1 2ТС вам привели один из примеров. sudo очень гибко и кастомно настраиваемая кошерная «вестч», только надо чуть-чуть документации почитать.

а как запретить использовать sudo -i ?

не разрешать его.

тебе тут уже несколько раз сказали, что если тебе нужно что-то запретить, то нужно запретить все, кроме того что можно. Иначе, даже имея доступ к cp можно будет получить root-доступ к твоей тачке. В идеале, создай каких-нибудь скриптов, которые ты хочешь разрешить пользователю, помести их куда-нибудь в /usr/local/bin и разреши доступ только к ним

Ну запретишь ты sudo -i. Пользователь выполнит вместо этого sudo install-trojan-miner.sh, тебе легче будет?

У меня все пользователи и так будут админами, потому что все пользаки SRE и DevOps, тут больше вопрос стоит как это сделать, это просто проверка от дурака, я не спрашиваю как пользак может найти дырки, я и сам знаю что дырок много, просто нужно прописать минимальные правила, как я выше писал через 2-3 месяца я поставлю freeipa и все сделаю нормально.

все пользователи == админы, это тебе к винде с анальногороженным UAC :)
в *никс всегда идут от обратного. прав должно минимум из необходимого.
даже работаь на сервере желательно под непрвилигированным пользователем, лишь по необходимости получая повышенные (желательно не root а конкретного применения) права

Ерунда все это.

все пользаки SRE и DevOps, тут больше вопрос стоит как это сделать, это просто проверка от дурака

В таком случае проверку лучше не делать.