您將如何保護 sudo 免受使用者本身的影響？

免責聲明：僅偶爾 *nix 使用者。只是好奇。

我正在閱讀https://security.stackexchange.com/questions/232924/is-sudo-almost-useless問題提出的問題

一旦攻擊者擁有一個 shell 作為您的 sudoer 使用者（或者只是破壞了一個本地程序），他/她就可以使用眾多權限提升工具之一……

和答案 顯示了已經破壞使用者帳戶的攻擊者如何輕鬆破壞sudo或任何其他特權升級機制，例如通過將假sudo注入~/.bashrc.

一個答案指出

只要您可以避免與虛假登錄螢幕進行互動，您就可以通過擁有單獨的管理和非管理使用者帳戶來緩解這種情況

sudo這讓我想到，如果不能使用使用所述權限提昇機制的相同使用者權限來偽造，或者實際上任何權限提昇機制，那麼通過 sudoer 破壞 root 將更加困難。

那麼，作為一個使用者，在沒有事先提權的情況下，如何確保所使用的提權機制不能被自己篡改呢？

注意：xkcd/1200當然適用。

如果您想保護帳戶免受某些可能的洩露結果，請取消這樣做的權限。將.bashrc其他文件（forbash和 中的其他 shell /etc/shells）設置為不可變的。

或者使用 Apparmor / SELinux 來限制對這些文件的寫訪問。

引用自：https://unix.stackexchange.com/questions/592134