（メモ）su させない

/etc/sudoers.dディレクトリ配下を編集

rootユーザで/etc/sudoers.d配下に ban_commandファイル（このファイル名はなんでもいい）を作成。

# cd /etc/sudoers.d
# touch ban_command
# vi /etc/sudoers.d/ban_command
Cmnd_Alias BAN_COMMAND = /bin/su
<ユーザ名> ALL=NOPASSWD: ALL, !BAN_COMMAND

visudoで内容を確認し、「:q」でvisudoから抜ける

# visudo

suできないか確認

「Sorry〜」のメッセージが出力されればOK

$ su - <ユーザー名>
$ sudo su
Sorry, user <ユーザ名> is not allowed to execute '/bin/su' as root on ip-xx-xxx-xx-xx.ap-northeast-1.compute.internal.

参考

sudoを/etc/sudoers.d/fileで許可する