Opcion 1: Comando

sudo passwd -l root

Opcion 2: Editando el fichero /etc/passwd (Eliminar la X o bien poner otro carácter “!”):

root::0:0...

NOTA: Si hay un usuario con acceso a sudo, este podría realizar “sudo -s” y pasar al usuario root.

Opción 1: Evitar el uso de “su” incluso a root, fichero: /etc/pam.d/su

auth            requisite       pam_denny.so
auth            sufficient      pam_rootok.so

su jasmin
su: Módulo desconocido

NOTA: Si root no puede utilizar el comando “su” pero sí “sudo”, podría arrancar aplicaciones con el ID de cualquier usuario usando “sudo -u comando”

Opcion 2: Evita el uso de “su”, solo root podrá ejecutarlo. Dichero: /etc/pam.d/su

auth            sufficient      pam_rootok.so
auth            requisite       pam_denny.so

Limitar el uso del comando “su” solo al usuario root y grupos determinados.

auth       sufficient pam_rootok.so
auth       required   pam_wheel.so group=jasmin

Eliminar del fichero /etc/sodoers los usuarios o grupos configurados. Si el fichero no tiene nada configurado realmente no tiene razón de ser, es como si no estuviera instalado.

• Jugando con los permisos de dichos ejecutables (su / sudo) con ACLs.
• Usando accesos limitados a los ejecutables del sistema (chroot / rbash).
• Modificar dichos ejecutables por scripts y controlar así su ejecución.
• EL comando runuser permite especificar cómodamente usuario / grupo para lanzar aplicaciones. Solo puede ser utilizado por el super usuario (root).