确保sudoers不能配置低权限用户可写的脚本

sudo允许普通用户以root权限执行某些特定的程序，与之对应的配置文件为“/etc/sudoers”。管理员用户可以配置相应的规则，使某些脚本或二进制文件以root权限运行。因此，sudo配置的脚本应仅限于root可写，不能配置低权限用户可写的脚本，否则用户可以通过修改该脚本实现提权操作。

检查sudo配置文件“/etc/sudoers”，检查特权程序是否为低权限用户可写。
```
grep "(root)" /etc/sudoers
```
如下为示例。
```
test_sudo  ALL=(root)  /bin/xxx.sh
```
查看文件权限。
```
ll /bin/xxx.sh
```
```
-rw-------. 1 root root 451 Mar 27 17:00 /bin/xxx.sh
```
若“/etc/sudoers”配置文件中的脚本允许低权限用户写入，则需要根据实际的业务场景进行修改。
- 方式一：修改“/etc/sudoers”配置文件中脚本的文件权限，移除低权限用户的可写权限，从而防止该用户通过脚本实现提权操作。
- 方式二：从“/etc/sudoers”配置文件中删除低权限用户可配置的脚本文件，防止低权限用户实现提权操作。

父主题： 安全访问