The sudo command allows users to run commands with root privileges. This can be a powerful tool, but it can also be a security risk if not used carefully. One way to mitigate this risk is to allow sudo users to run particular authorized commands. In this guide, we will show you how to restrict sudo users to run specific commands with sudo privileges in Linux. We will also show you how to revert sudoers file back to the original configuration.
Table of Contents
Restrict Sudo Users to Run Authorized Commands
To restrict sudo users to ONLY run authorized commands, you can use the sudoers configuration file. On most Linux distributions, the sudoers file is located at /etc/sudoers file or /etc/sudoers.d/ directory.
Heads Up: Before making changes to the sudoers file, it's crucial to use caution, as incorrect configurations can lead to system issues. Always use the visudo command to edit the sudoers file, as it performs syntax checks before saving changes.
Here's how you can restrict sudo users to run specific commands:
1. It's highly recommended to backup the sudoers file before making any changes or edits to it. To backup sudoers file, run:
$ sudo cp /etc/sudoers /etc/sudoers.bak
By backing up the sudoers file, you can easily revert to a known-working configuration if errors occur during editing or in case of security incidents.
2. Open the sudoers file for editing using visudo command:
$ sudo visudo
3. Scroll down to the line where it says:
# Allow members of group sudo to execute any command %sudo ALL=(ALL:ALL) ALL
The above line means that members of the "sudo" group are allowed to execute any command with sudo privileges on any host and as any user or group. Essentially, it grants full sudo access to the users in the "sudo" group.
4. To allow the sudo users to execute only a specific command, for example apt, modify the line as shown below.
%sudo ALL=(ALL:ALL) /bin/apt
You can also specify multiple allowed commands for a user by separating them with commas:
%sudo ALL=(ALL:ALL) /path/to/allowed/command1,/path/to/allowed/command2
5. If you want to allow the user to run the allowed commands without entering a password, you can append NOPASSWD: before the command path. However, be cautious when using this option, as it might reduce the security of your system.
%sudo ALL=(ALL) NOPASSWD: /path/to/allowed/command
6. Once you've made the necessary changes, save and close the sudoers file.
7. Verify the syntax of your sudoers file before exiting visudo. If there are any syntax errors, visudo will prompt you to correct them.
After following these steps, all the members of the sudo group will only be able to execute the allowed commands with sudo privileges. Running all other commands with sudo privilege will be denied, even if the user is a member of sudo group.
Let us verify it by running the cat command with sudo privilege.
$ sudo cat /etc/sudoers
Sample Output:
[sudo] password for ostechnix: Sorry, user ostechnix is not allowed to execute '/usr/bin/cat /etc/sudoers' as root on debian12.ostechnix.lan.
Even though, the user 'ostechnix' is a member of sudo group, he can't run sudo cat /etc/sudoers command. Because, we restricted him to run only the apt command with sudo privilege.
Let us list all of the commands that the user ostechnix is allowed to run with sudo privileges.
$ sudo -lU ostechnix
[sudo] password for ostechnix:
Matching Defaults entries for ostechnix on debian12:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty
User ostechnix may run the following commands on debian12:
<strong><mark>(ALL : ALL) /bin/apt</mark></strong>
As you can see in the above output, the user ostechnix can run only apt command with sudo privilege.
Let us check if he can able to the apt command with sudo privilege.
$ sudo apt update
Yes, he has no problem on running the allowed command, which is apt in this case, with sudo rights. The user can also run all the sub-commands of apt, for example apt upgrade, apt full-upgrade etc.
Please note that this is applicable only for the commands run with sudo privilege. Executing any other commands without sudo will normally work.
Restoring Original sudoers File Configuration
If you want to revert the sudoers file back to the original configuration, you need to change it to the correct syntax that was originally present in the file. To do that, follow these steps:
1. Login as root user or switch to another sudo user who has full sudo privilege.
2. If you already have the backup, restore the sudoers file from the backup using the following command (assuming the backup file is in /etc directory).
$ sudo cp /etc/sudoers.bak /etc/sudoers
If you don't have backup, follow the subsequent steps.
3. Open the sudoers file for editing using visudo command. Make sure you're logged in as root or other sudo user.
$ sudo visudo
4. Locate the line that you want to modify. In our case, it's the line that grants sudo privileges to the sudo group and allows them to run /bin/apt.
5. Replace the current line with the original configuration that you want to restore. For example, if the current line is:
%sudo ALL=(ALL:ALL) /bin/apt
and you want to revert it back to the default configuration that grants full sudo privileges to the sudo group, it should be:
%sudo ALL=(ALL:ALL) ALL
6. Save and close the sudoers file.
7. Verify the syntax of your sudoers file before exiting visudo. If there are no syntax errors, the changes will be applied.
After making these changes, the sudo configuration will be modified back to the original settings, and the users will have the sudo privileges as they had before the changes were made.
Remember to be careful when modifying the sudoers file, as incorrect configurations can lead to issues with sudo access on your system. Always use visudo to edit the file to avoid syntax errors.
Conclusion
Restricting sudo users to run specific commands is a good way to improve the security of your Linux system. By limiting the commands that sudo users can run, you can reduce the risk of unauthorized access and system damage.
Related Read:
- How To Run Particular Commands Without Sudo Password In Linux
- How To Allow Or Deny Sudo Access To A Group In Linux
- How To Restrict Su Command To Authorized Users In Linux
- Run Commands As Another User Via Sudo In Linux
- How To Prevent Command Arguments With Sudo In Linux
- How To Run All Programs In A Directory Via Sudo In Linux
- How To Restore Sudo Privileges To A User
위 내용은 Linux에서 Sudo 사용자가 특정 공인 명령을 실행하도록 제한하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
SED 명령으로 텍스트 조작을 마스터 링합니다Mar 16, 2025 am 09:48 AMLinux Command Line 인터페이스는 풍부한 텍스트 처리 도구를 제공합니다. 가장 강력한 도구 중 하나는 SED 명령입니다. SED는 텍스트 파일 및 스트림을 복잡하게 처리 할 수있는 다기능 도구 인 스트림 편집기의 약어입니다. SED 란 무엇입니까? SED는 파이프 라인 입력 또는 텍스트 파일에서 작동하는 비 결과 텍스트 편집기입니다. 지시문을 제공함으로써 파일 또는 스트림에서 텍스트를 수정하고 처리 할 수 있습니다. SED의 가장 일반적인 사용 사례에는 텍스트 선택, 텍스트 교체, 원본 파일 수정, 텍스트에 줄 추가 또는 텍스트에서 줄을 제거하는 것이 포함됩니다. Bash 및 기타 명령 줄 쉘의 명령 줄에서 사용할 수 있습니다. SED 명령 구문 sed
필레 : 라즈베리 파이로 구동되는 모듈 식 휴대용 미니 컴퓨터Mar 06, 2025 am 10:11 AMDiscover Pilet : 레트로 연료의 오픈 소스 미니 컴퓨터 클래식 스타일을 최첨단 기술과 혼합하는 미니 컴퓨터를 찾고 계십니까? Raspberry Pi 5가 구동하는 모듈 식 오픈 소스 놀라운 Pilet을 만나십시오. 7 시간의 배터리 수명을 자랑합니다.
Linux 커널 소스 코드는 4 천만 줄을 능가합니다Mar 05, 2025 am 09:35 AMLINUX : 스마트 폰에서 슈퍼 컴퓨터에 이르기까지 현대 컴퓨팅의 초석은 모든 것을 할 수 있습니다. 수년에 걸쳐 Linux 커널의 크기와 복잡성이 크게 증가했습니다. 2025 년 1 월 현재 Linux 커널 소스 코드에는 약 4 천만 줄의 코드가 포함되어 있습니다! 이것은 오픈 소스, 커뮤니티 중심 프로젝트의 역사에서 가장 큰 성과 중 하나입니다. 이 기사는 Linux 커널 소스 코드의 라인 수의 지수 성장, 현재 라인 수를 직접 확인하는 방법에 대해 논의 할 것입니다. 디렉토리 -Linux 커널 히스토리 히스토리 수 Linux 커널 소스 코드 전용 C 및 헤더 파일 커널 성장의 지수 추세 검증 기록 Linux 커널 라인 요약 Linus Tor
Linux에서 파일 및 디렉토리 계산 방법 : 초보자 안내서Mar 19, 2025 am 10:48 AMLinux에서 파일 및 폴더를 효율적으로 계산 : 포괄적 인 가이드 Linux에서 파일과 디렉토리를 빠르게 계산하는 방법을 아는 것은 시스템 관리자 및 대규모 데이터 세트를 관리하는 사람에게 중요합니다. 이 안내서는 Simple Command-L을 사용합니다
System76은 Meerkat Mini PC : Big Power를 작은 패키지로 소개합니다.Mar 05, 2025 am 10:28 AMSystem76 Meerkat : 강력한 미니 PC 강력하면서도 공간 절약하는 컴퓨터를 찾고 계십니까? System76에서 Meerkat Mini PC를 만나십시오! 이 소형 강국은 깔끔한 데스크탑과 까다로운 작업에 적합합니다. 목차 - 소형 디자인, 인상적입니다
Linux의 여러 그룹에 사용자를 추가하는 방법Mar 18, 2025 am 11:44 AMLinux/UNIX 시스템 관리에는 사용자 계정 및 그룹 멤버십을 효율적으로 관리하는 것이 중요합니다. 이를 통해 적절한 리소스 및 데이터 액세스 제어를 보장합니다. 이 자습서는 Linux 및 UNIX 시스템의 여러 그룹에 사용자를 추가하는 방법에 대해 자세히 설명합니다. 우리
Linux 시스템을 Liporix 커널로 과급하는 비밀 무기Mar 08, 2025 pm 12:12 PMLiquorix 커널 : Linux 시스템 성능 향상을위한 강력한 도구 Linux는 유연성, 보안 및 고성능으로 유명하며 개발자, 시스템 관리자 및 고급 사용자가 선택한 운영 체제가되었습니다. 그러나 Universal Linux 커널이 항상 최대의 성능과 응답 성을 추구하는 사용자의 요구를 충족시키는 것은 아닙니다. Linux 시스템을 향상시킬 수있는 성능 최적화 된 대안 인 Liquorix 커널이 작동하는 곳입니다. 이 기사는 Liq Liquorix 커널 상세한 설명 Liquorix 커널은 사전 컴파일 된 Linux 커널입니다
자신의 우분투 개인 클라우드 구축 : 안전한 데이터 피난처 생성을위한 단계별 가이드Mar 05, 2025 am 11:02 AM오늘날의 디지털 시대에는 데이터가 정보뿐만 아니라 우리 삶의 일부이기도합니다. 사진과 문서에서 민감한 개인 정보에 이르기까지 우리의 데이터는 우리의 기억, 작업 및 관심사를 나타냅니다. 클라우드 스토리지 서비스는 널리 사용 가능하지만 종종 개인 정보 보호 문제, 구독 비용 및 사용자 정의 제한이 수반됩니다. 그것이 Ubuntu에서 개인 클라우드를 구축하는 것은 강력한 대안으로서 데이터를 완전히 제어하고 필요에 따라 사용자 정의 및 규모를 확장 할 수있는 유연성을 제공합니다. 이 안내서는 Ubuntu 기반 개인 클라우드를 설정하고 NextCloud를 기본 응용 프로그램으로 사용하고 설정이 안전하고 신뢰할 수 있는지 확인하십시오. 우분투에서 개인 구름을 구축하는 이유는 무엇입니까? 우분투는 가장 인기있는 리눅스입니다
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
에디트플러스 중국어 크랙 버전
작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음
Dreamweaver Mac版
시각적 웹 개발 도구
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
mPDF
mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.
