这篇文章概述了通过以下命令阻止具有 sudo 访问权限的用户获得超级用户权限来加强系统安全性的步骤：

$ sudo su

sudo 命令允许系统管理员允许一个用户或者一组用户在只知道原始用户密码的情况下运行具有不同权限（例如超级用户“root”权限）的特定命令行工具。

当 sudo 命令运行时，它会尝试在其配置文件 /etc/sudoers 或者 /etc/sudoers.d/ 中找到匹配的命令；如果找到匹配项，则授予用户运行命令的权限，否则将记录事件并拒绝该命令。

sudo 命令的工作原理是将命令行中的参数与 /etc/sudoers 或者 /etc/sudoers.d/ 文件中的每个条目进行匹配。
找到的第一场比赛决定了结果。
每条规则都按其在 /etc/sudoers 文件中的顺序进行测试。
该规则与命令的开头匹配。
如果规则比命令短，则只检查命令开头的匹配部分；不检查命令的任何其余部分。
/etc/sudoers 规则的顺序很重要；总是将较长的规则放在较短的版本之前。

1. 以 root 帐户登录到服务器。

2. 备份 /etc/sudoers 配置文件。

# cp -p /etc/sudoers /etc/sudoers.ORIG

3. 编辑 /etc/sudoers 配置文件。

# visudo -f /etc/sudoers

将

##Allow orarom user to run any command (enabled for patching from oracle platnum support)
orarom ALL=(ALL) ALL

改成：

##Limit the orarom user to run any command (enabled for patching from oracle platnum support), except for sudo su to root
orarom ALL = ALL, !/bin/su

4. 然后保存文件。

5. 请在 sudo 中对其他用户帐户执行相同操作。

检查确认

让我们验证我们是否禁用了对用户的 sudo 访问。

$ sudo su 
[sudo] password for orarom:
Sorry, user orarom is not allowed to execute '/bin/su -' as root on testvm01.