recherche
MaisonTutoriel systèmeLinuxComment restreindre les utilisateurs de Sudo à exécuter des commandes autorisées spécifiques dans Linux

The sudo command allows users to run commands with root privileges. This can be a powerful tool, but it can also be a security risk if not used carefully. One way to mitigate this risk is to allow sudo users to run particular authorized commands. In this guide, we will show you how to restrict sudo users to run specific commands with sudo privileges in Linux. We will also show you how to revert sudoers file back to the original configuration.

Table of Contents

Restrict Sudo Users to Run Authorized Commands

To restrict sudo users to ONLY run authorized commands, you can use the sudoers configuration file. On most Linux distributions, the sudoers file is located at /etc/sudoers file or /etc/sudoers.d/ directory.

Heads Up: Before making changes to the sudoers file, it's crucial to use caution, as incorrect configurations can lead to system issues. Always use the visudo command to edit the sudoers file, as it performs syntax checks before saving changes.

Here's how you can restrict sudo users to run specific commands:

1. It's highly recommended to backup the sudoers file before making any changes or edits to it. To backup sudoers file, run:

$ sudo cp /etc/sudoers /etc/sudoers.bak

By backing up the sudoers file, you can easily revert to a known-working configuration if errors occur during editing or in case of security incidents.

2. Open the sudoers file for editing using visudo command:

$ sudo visudo

3. Scroll down to the line where it says:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

The above line means that members of the "sudo" group are allowed to execute any command with sudo privileges on any host and as any user or group. Essentially, it grants full sudo access to the users in the "sudo" group.

4. To allow the sudo users to execute only a specific command, for example apt, modify the line as shown below.

%sudo   ALL=(ALL:ALL) /bin/apt

Comment restreindre les utilisateurs de Sudo à exécuter des commandes autorisées spécifiques dans Linux

You can also specify multiple allowed commands for a user by separating them with commas:

%sudo   ALL=(ALL:ALL) /path/to/allowed/command1,/path/to/allowed/command2

5. If you want to allow the user to run the allowed commands without entering a password, you can append NOPASSWD: before the command path. However, be cautious when using this option, as it might reduce the security of your system.

%sudo  ALL=(ALL)  NOPASSWD: /path/to/allowed/command

6. Once you've made the necessary changes, save and close the sudoers file.

7. Verify the syntax of your sudoers file before exiting visudo. If there are any syntax errors, visudo will prompt you to correct them.

After following these steps, all the members of the sudo group will only be able to execute the allowed commands with sudo privileges. Running all other commands with sudo privilege will be denied, even if the user is a member of sudo group.

Let us verify it by running the cat command with sudo privilege.

$ sudo cat /etc/sudoers

Sample Output:

[sudo] password for ostechnix: 
Sorry, user ostechnix is not allowed to execute '/usr/bin/cat /etc/sudoers' as root on debian12.ostechnix.lan.

Comment restreindre les utilisateurs de Sudo à exécuter des commandes autorisées spécifiques dans Linux

Even though, the user 'ostechnix' is a member of sudo group, he can't run sudo cat /etc/sudoers command. Because, we restricted him to run only the apt command with sudo privilege.

Let us list all of the commands that the user ostechnix is allowed to run with sudo privileges.

$ sudo -lU ostechnix
[sudo] password for ostechnix: 
Matching Defaults entries for ostechnix on debian12:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty

User ostechnix may run the following commands on debian12:
    <strong><mark>(ALL : ALL) /bin/apt</mark></strong>

Comment restreindre les utilisateurs de Sudo à exécuter des commandes autorisées spécifiques dans Linux

As you can see in the above output, the user ostechnix can run only apt command with sudo privilege.

Let us check if he can able to the apt command with sudo privilege.

$ sudo apt update

Comment restreindre les utilisateurs de Sudo à exécuter des commandes autorisées spécifiques dans Linux

Yes, he has no problem on running the allowed command, which is apt in this case, with sudo rights. The user can also run all the sub-commands of apt, for example apt upgrade, apt full-upgrade etc.

Please note that this is applicable only for the commands run with sudo privilege. Executing any other commands without sudo will normally work.

Restoring Original sudoers File Configuration

If you want to revert the sudoers file back to the original configuration, you need to change it to the correct syntax that was originally present in the file. To do that, follow these steps:

1. Login as root user or switch to another sudo user who has full sudo privilege.

2. If you already have the backup, restore the sudoers file from the backup using the following command (assuming the backup file is in /etc directory).

$ sudo cp /etc/sudoers.bak /etc/sudoers

If you don't have backup, follow the subsequent steps.

3. Open the sudoers file for editing using visudo command. Make sure you're logged in as root or other sudo user.

$ sudo visudo

4. Locate the line that you want to modify. In our case, it's the line that grants sudo privileges to the sudo group and allows them to run /bin/apt.

5. Replace the current line with the original configuration that you want to restore. For example, if the current line is:

%sudo   ALL=(ALL:ALL) /bin/apt

and you want to revert it back to the default configuration that grants full sudo privileges to the sudo group, it should be:

%sudo   ALL=(ALL:ALL) ALL

6. Save and close the sudoers file.

7. Verify the syntax of your sudoers file before exiting visudo. If there are no syntax errors, the changes will be applied.

After making these changes, the sudo configuration will be modified back to the original settings, and the users will have the sudo privileges as they had before the changes were made.

Remember to be careful when modifying the sudoers file, as incorrect configurations can lead to issues with sudo access on your system. Always use visudo to edit the file to avoid syntax errors.

Conclusion

Restricting sudo users to run specific commands is a good way to improve the security of your Linux system. By limiting the commands that sudo users can run, you can reduce the risk of unauthorized access and system damage.

Related Read:

  • How To Run Particular Commands Without Sudo Password In Linux
  • How To Allow Or Deny Sudo Access To A Group In Linux
  • How To Restrict Su Command To Authorized Users In Linux
  • Run Commands As Another User Via Sudo In Linux
  • How To Prevent Command Arguments With Sudo In Linux
  • How To Run All Programs In A Directory Via Sudo In Linux
  • How To Restore Sudo Privileges To A User

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Maîtriser la manipulation du texte avec la commande SEDMaîtriser la manipulation du texte avec la commande SEDMar 16, 2025 am 09:48 AM

L'interface de ligne de commande Linux fournit une multitude d'outils de traitement de texte, l'un des outils les plus puissants est la commande SED. SED est l'abréviation de Stream Editor, un outil multifonctionnel qui permet un traitement complexe des fichiers texte et des flux. Qu'est-ce que SED? SED est un éditeur de texte non interactif qui fonctionne sur des entrées de pipeline ou des fichiers texte. En fournissant des directives, vous pouvez le laisser modifier et traiter le texte dans un fichier ou un flux. Les cas d'utilisation les plus courants de SED incluent la sélection du texte, le remplacement du texte, la modification des fichiers d'origine, l'ajout de lignes au texte ou la suppression des lignes du texte. Il peut être utilisé à partir de la ligne de commande dans Bash et d'autres shells de ligne de commande. Syntaxe de commande SED sed

Pilet: un mini-ordinateur modulaire, alimenté par Raspberry PiPilet: un mini-ordinateur modulaire, alimenté par Raspberry PiMar 06, 2025 am 10:11 AM

Discover Pilet: Un mini-ordinateur rétro-futuristique Vous cherchez un mini-ordinateur qui mélange le style classique avec la technologie de pointe? Rencontrez Pilet, une merveille modulaire et open source alimentée par le Raspberry Pi 5. Bénéficiant d'une durée de vie de la batterie de 7 heures

Le code source du noyau Linux dépasse 40 millions de lignesLe code source du noyau Linux dépasse 40 millions de lignesMar 05, 2025 am 09:35 AM

Linux: La pierre angulaire de l'informatique moderne, des smartphones aux superordinateurs, peut tout faire. Au fil des ans, la taille et la complexité du noyau Linux ont considérablement augmenté. En janvier 2025, le code source du noyau Linux contient environ 40 millions de lignes de code! Il s'agit de l'une des plus grandes réalisations de l'histoire des projets open source et axés sur la communauté. Cet article discutera de la croissance exponentielle du nombre de lignes dans le code source du noyau Linux, des raisons et de la façon de vérifier le nombre actuel de lignes par vous-même. Répertoire - Historique du noyau en ligne du nombre de lignes du nombre de lignes du code source du noyau Linux ne comptez que les fichiers C et les fichiers d'en-tête tendance exponentielle de la croissance du noyau vérifier les lignes de noyau linux historiques résumé de l'histoire du noyau linux depuis 1991 Linus Tor

Comment compter les fichiers et les répertoires dans Linux: un guide pour débutantComment compter les fichiers et les répertoires dans Linux: un guide pour débutantMar 19, 2025 am 10:48 AM

Compter efficacement les fichiers et les dossiers dans Linux: un guide complet Savoir compter rapidement les fichiers et les répertoires dans Linux est crucial pour les administrateurs système et toute personne qui gère les grands ensembles de données. Ce guide démontre en utilisant la commande simple-L

System76 présente Meerkat Mini PC: Big Power dans un petit paquetSystem76 présente Meerkat Mini PC: Big Power dans un petit paquetMar 05, 2025 am 10:28 AM

Le System76 Meerkat: un mini-PC puissant Vous cherchez un ordinateur puissant mais économique? Rencontrez le mini PC Meerkat de System76! Cette centrale compacte est parfaite pour les ordinateurs de bureau bien rangés et les tâches exigeantes. Table des matières - Design compact, impressionnant

Comment ajouter un utilisateur à plusieurs groupes dans LinuxComment ajouter un utilisateur à plusieurs groupes dans LinuxMar 18, 2025 am 11:44 AM

La gestion efficace des comptes d'utilisateurs et des abonnements de groupe est crucial pour l'administration du système Linux / Unix. Cela garantit un contrôle approprié des ressources et des données. Ce tutoriel détaille comment ajouter un utilisateur à plusieurs groupes dans les systèmes Linux et Unix. Nous

L'arme secrète pour suralimenter votre système Linux avec le noyau LiquorixL'arme secrète pour suralimenter votre système Linux avec le noyau LiquorixMar 08, 2025 pm 12:12 PM

Noyau Liquorix: un outil puissant pour améliorer les performances du système Linux Linux est connu pour sa flexibilité, sa sécurité et ses performances élevées, devenant le système d'exploitation de choix pour les développeurs, les administrateurs système et les utilisateurs avancés. Cependant, le noyau Linux universel ne répond pas toujours aux besoins des utilisateurs à la recherche de performances et de réactivité maximales. C'est là que le noyau Liquorix entre en jeu - une alternative optimisée aux performances qui promet d'améliorer votre système Linux. Cet article explorera ce qu'est le noyau Liquorix, pourquoi vous voudrez peut-être l'utiliser et comment l'installer et le configurer pour tirer le meilleur parti de votre système. Explication détaillée du noyau liquorix Le noyau liquorix est un noyau Linux précompilé conçu pour

Construire votre propre cloud personnel Ubuntu: un guide étape par étape pour créer un paradis de données sécuriséConstruire votre propre cloud personnel Ubuntu: un guide étape par étape pour créer un paradis de données sécuriséMar 05, 2025 am 11:02 AM

À l'ère numérique d'aujourd'hui, les données ne sont pas seulement des informations, mais aussi une partie de notre vie. Des photos et des documents aux informations personnelles sensibles, nos données représentent nos souvenirs, nos travaux et nos intérêts. Bien que les services de stockage cloud soient largement disponibles, ils sont souvent accompagnés de problèmes de confidentialité, de frais d'abonnement et de restrictions de personnalisation. C'est ce que la construction d'un nuage personnel sur Ubuntu est à peu près comme une alternative puissante, ce qui vous donne un contrôle complet sur vos données et la flexibilité de personnalisation et d'échelle au besoin. Ce guide vous guidera pour configurer un cloud personnel basé sur Ubuntu, utiliser NextCloud comme application principale et vous assurer que vos paramètres sont sécurisés et fiables. Pourquoi construire un nuage personnel sur Ubuntu? Ubuntu est le Linux le plus populaire

See all articles

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

AI Hentai Generator

Générez AI Hentai gratuitement.

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)
2 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌
Repo: Comment relancer ses coéquipiers
1 Il y a quelques moisBy尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Adventure: Comment obtenir des graines géantes
4 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌

Outils chauds

Bloc-notes++7.3.1

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

Adaptateur de serveur SAP NetWeaver pour Eclipse

Adaptateur de serveur SAP NetWeaver pour Eclipse

Intégrez Eclipse au serveur d'applications SAP NetWeaver.

Version crackée d'EditPlus en chinois

Version crackée d'EditPlus en chinois

Petite taille, coloration syntaxique, ne prend pas en charge la fonction d'invite de code

PhpStorm version Mac

PhpStorm version Mac

Le dernier (2018.2.1) outil de développement intégré PHP professionnel

SublimeText3 version chinoise

SublimeText3 version chinoise

Version chinoise, très simple à utiliser