利用chattr限制sudo修改root密码

　　当赋予普通用户sudo权限后,root密码很不安全,可用利用chattr来限制/etc/sudoers和/etc/sudoers.d的更改

chattr常用选项

• i (immutable) 不允许修改,如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。
• a (append only)只能追加,如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。
  • +赋予　　-取消

lsattr

• -a显示隐藏文件
• -R recursive
• -d显示目录attr

 

chattr +i /etc/sudoers

chattr +i /etc/sudoers.d

%wheel　　　ALL=(ALL)　　　　NOPASSWD: ALL,!/usr/bin/chattr,!/usr/bin/passwd

sudo -ll 

sudo -u root