“sudo su”できるユーザーを限定する

2019.10.20 (日)

GCPのVMインスタンスはIAMで登録したユーザーが自動的にVMインスタンスのユーザーとして登録されるようになっているのだけど、デフォルトでは誰でもsodo suできるようになっている。sudo suできるユーザーを限定するには、/etc/sudoers.d/google_sudoersを修正します。修正間違えるとログインできなくなるので注意。

#%google-sudoers ALL=(ALL:ALL) NOPASSWD:ALL
username   ALL=(ALL)   NOPASSWD: ALL

既存のgoogle-sudoersの行をコメントアウトして、許可するユーザーを個別に書いてあげればOKです。これでsudo susudo自体が使えなくなります。