Bloquear comandos específicos no arquivo sudoers

Olá. Existe uma forma de bloquear alguns comandos no arquivo sudoers? Por exemplo, dei todas as permissões para um usuário, mas quero que alguns comandos sejam bloqueados. Tem como?

Olá @crisdoxavier existe sim, mas não é muito prático.

Por exemplo, vou deixar meu usuário fazer tudo, menos rodar /bin/ls como sudo:

# no visudo
%wheel  ALL=ALL, !/bin/ls

Quando eu tento rodar, recebo um erro:

$ sudo ls
Sorry, user thiagoalessio is not allowed to execute '/bin/ls' as root on thinkpad-rhel-8.

Mas se eu copiar o binário pra outro lugar …

$ cp /bin/ls ./my-ls
~ $ sudo ./my-ls
Desktop    Downloads            Music  pass-temp  Pictures   Public  Templates  todo    Work
Documents  javasharedresources  my-ls  Personal   postponed  ssh     tmp        Videos

BAM! hacker kkkkkkk

O ideal é explicitamente definir só os comandos que vc quer autorizar.

# no visudo
%wheel  ALL= /bin/comando-autorizado-1, /bin/comando-autorizado-2, etc
3 Curtidas

Entendi. Muito obrigado pela resposta.