Buenas

Amig@s, necesitaba un poco de su opinión acerca de este tema, como lo dirá el titulo tengo un servidor FREEIPA en CentOS, este equipo lo uso para centralizar todos mis usuarios; ademas tengo otros servidores que ya están configurados como clientes y están conectados a este equipo. También tengo el servicio de SUDO en Freeipa y le indico al servidor cuales usuarios tienen privilegios de usar SUDO y que comandos pueden usar.

El caso es el siguiente, prácticamente todos en mi departamento somos administradores y podemos accesar a todos los servidores sin restricciones, por tanto hubieron algunos usuarios que no les di uso de ciertos comandos, sino que coloque la opción como "ALL" para que usaron todos como si fueran root, ahora lo que si quiero evitar es que esos usuarios los cuales tienen todos los privilegios no puedan cambiar contraseñas de root y otras cosas mas, como por ejemplo:

!/bin/su, !/bin/bash, !/usr/bin/passwd root, !/bin/sudo -i

Solo que nivel de FREEIPA, si yo coloco en la opción de SUDO que puedo usar cualquier comandos entonces el no me permite bloquear en la misma regla y si coloco otra regla que se encarga solo de bloquear es probable que haya conflicto de la misma aunque esto para ser sincero no lo he probado.

Algun@ conoce alguna idea con respecto a este tema.

De antemano gracias por la ayuda.