¿Es posible deshabilitar chmod / chown de sudoers para estos directorios específicos / usr y / etc?

Hubo dos ocasiones en las que accidentalmente modifiqué 777 todo el directorio /etcy me obligó a tomar la decisión de que sería mejor hacer una nueva instalación del sistema operativo (Linux - Ubuntu 14.04 para ser específicos). Luego, unas semanas más tarde, para mi gran sorpresa, accidentalmente me convertí en un usuario normal para todo el directorio de /usr.

Me pregunto si es posible eliminar chmody, chownespecíficamente, solo de estos dos directorios sudoers, mientras se permite que estas funciones controlen los archivos. (En otras palabras, ¿podría evitar -Restas dos funciones solo para estos dos directorios?

Gracias.

— Faron
fuente

Te has equivocado dos veces hasta ahora, con / etc y / usr. ¿Qué te hace pensar la próxima vez que no será / bin, por ejemplo? En lugar de poner una venda en un hueso roto, tenga mucho cuidado con lo que hace como raíz. Siempre verifique dos veces un comando que ejecute como root antes de hacerlo, ya sea en un shell de root o usando sudo. Linux (y * nix en general) se basa en la suposición de que el administrador sabe lo que está haciendo, por lo que si usted dice chmod -R 777 /usreso es lo que quiso decir, por lo que las herramientas deberían hacerlo. La única venda principal es para rm -rf /, porque nadie quiere hacer eso.

— un CVn

Es verdad. En otras palabras, en /etc/sudoers, la línea %sudo ALL=(ALL:ALL) ALLdebe ser solo un usuario, ¿nada más?

— Faron

Si tiene sudoersconfiguraciones que permiten TODO, no creo que sea posible: en cuanto al inicio de sesión de root, debe tener mucho cuidado cuando sudoingalgún -Rcomando.

Si sudoerspermite explícitamente el chmod/chowncomando, puede lograr esto escribiendo un script de contenedor para hacer chmod/chowny permitir este contenedor en lugar de comandos sin formato.

De esta manera, puede agregar cualquier control que desee en el contenedor.

— tonioc
fuente