Allora ho studiato e fatto diverse prove, sono abbastanza soddisfatto ma non ho il controllo che vorrei devo aver commesso degli errori, questo è il mio file sudoers:
-----------------
## Networking
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

## Installation and management of software
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

## Services
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

## Updating the locate database
Cmnd_Alias LOCATE = /usr/bin/updatedb

## Storage
Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount

## Delegating permissions
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp

## Processes
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

## Drivers
Cmnd_Alias DRIVERS = /sbin/modprobe

## Specials
Cmnd_Alias MYADMIN = !/usr/bin/passwd root, !/usr/bin/su *root*, !/bin/chown /var/www/html/*, !/bin/chown /var/log/secure, !/bin/chmod /var/www/html/*, !/bin/chmod /var/log/secure, !/sbin/service crond stop, !/etc/service httpd stop, !/etc/service syslog, !/sbin/chkconfig httpd off, !/sbin/chkconfig crond off, !/sbin/chkconfig syslog off, !/bin/vi /etc/sudoers, !/bin/vi /etc/contab, !/bin/vi /var/log/secure

Defaults requiretty

Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR \
LS_COLORS MAIL PS1 PS2 QTDIR USERNAME \
LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION \
LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC \
LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS \
_XKB_CHARSET XAUTHORITY"

root ALL=(ALL) ALL

%myadmin ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS, MYADMIN
---------------
Ho tolto un po' di commenti...ho provato a fare un alias MYADMIN con i comandi che non voglio che che vengano eseguiti dagli admin (che fanno tutti parte del gruppo myadmin)

Però se faccio sudo service httpd stop da uno di questi admin (che fanno parte del gruppo myadmin e di nessun altro gruppo) posso ancora stoppare apache.

In pratica non ho i controlli che vorrei, immagino che ci sia un errore evidente...

Ora che ci penso probabilmente manca della roba...devo anche impedire che un nuovo utente (o un utente esistente) possano far parte del gruppo root.

Ho creto uno script e alcune cose ad esso collegate nella cartella /var/www/html
ho impostato i permessi di tutto a 700 solo root puo fare tutto.

Vorrei che quei files non fossereo modificabili o cancellabili se non da root e nessun altro

Vorrei che crond e httpd non fossero stoppabili o disabilitabili da nessuno all'infuori di root

Vorrei che nessun nuovo utente possa venire creato con i privilegi di root (o modificato in seguito)

Quante cose vorrei...potrei provare con una letterina a Babbo Natale


Ma inanzittutto mi basterebbe capire dove ho sbagliato cosi da potere almeno fare dei tentativi...

Grazie