すべてのグループから削除されたにもかかわらず、ユーザーはまだsudo権限を持っています。

すべてのグループから削除されたにもかかわらず、ユーザーはまだsudo権限を持っています。

userXCentos7システムにユーザーがいます。このユーザーのすべてのグループを削除し、そのユーザーはこのグループにのみ割り当てられましたuserX。しかし、私はsudo suまだroot

コマンドの順序:
1.SSH一般ユーザーとしてログインしますsriram
2.受信者:。sudo 3. ルートになります。 。これは許可され、パスワードなどは必要ありません。理想的な動作は、ルートになることを許可しないことです。userXsudo su - userX
sudo suuserX

ランニングsudo -lU userX::

[sudo] password for sriram:
Matching Defaults entries for userX on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
    LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, timestamp_timeout=0

User userX may run the following commands on this host:
    (ALL) NOPASSWD: ALL
    (ALL) NOPASSWD: ALL

私はどこで間違っている可能性がありますか?どのような追加情報を提供する必要がありますか?

答え1

sudoアクセスの問題を解決するのにsudo -l非常に便利です。sudo -lあなたの権限を印刷しsudosudo -lU userそのユーザーのsudo権限を印刷します(すべての権限がある場合)。

$ sudo -l
User muru may run the following commands on laptop:
    (ALL) ALL

sudo一致基準ではなく付与された権限を指定して、一致する各ルールに対して1行を印刷します。

たとえば、3つの異なるファイルで次の3つの規則を使用します。

%wheel ALL = (ALL) ALL
muru ALL = (ALL:ALL) ALL
%muru ALL = (ALL) ALL

出力は次のとおりです。

# sudo -lU muru
User muru may run the following commands on laptop:
    (ALL) ALL
    (ALL) ALL
    (ALL : ALL) ALL

あなたができることは、これらの権限を付与するルールを探し、ターゲットユーザーがそれらをどのように一致するかを確認することです。各行はそのユーザーと一致する規則に対応する必要があるため、3行がsudoある場合は3つの規則が必要です(sudo構成が異常であるか、同じファイルを2回読み取る場合を除く)。

関連情報