Ne mozes to uraditi sa sudo, sa sudo mozes jedino da zabranis pristup komandama.Bas zanimljivo pitanje, bilo bi dobro ako neko zna neko resenje, mozda sa SELinux...

Ma ne moze nikako, tj. odgovor je vrlo prost: Ako postoji sudoer B, koji moze da postane root, onda on uvek moze da pristupi svemu, ili da izmeni privilegije tako da moze da pristupi bilo cemu. Moze cak posle i da ih vrati nazad kako su bile :). To je sustina root naloga.

Ako mozes ovo da pojasnis, da li ovo znaci da nekom sudo useru mogu zabraniti da izvrsava neku komandu, i ako moze kako?

Sa sudo mozes da dozvolis samo odredjene komande. Znaci, imas klasicne sudoere, koji mogu bilo sta da urade preko sudo, i imas one koji mogu preko sudo da pokrenu samo poneku komandu.

Ubuntu docs - sudoers

Detaljnije

Pa onda bi mogao recimo svim sudo userima sem ruta zabraniti komandu cd /home/aa.
Pretpostavlaj da je odgovor da se ne moze zabraniti komanda sa argumentima vec samo komanda.

Pogledaj ovu "petljanciju" sa dozvolama: http://www.linuxquestions.org/...ther-users-476232/#post2390362
Deluje da radi, nisam jos isprobao...
Ako radis sa VBox-om ili vmware-workstation, napravi prvo snapshot masine, pa onda isprobaj.

Sudoers podrzava argumente tako da to moze :) Evo primer, upravo probao kod mene na sistemu

Sada ne bi trebalo da radi sudo ls /home/korisnickoime za korisnika 'user'
Problem je tu sto vec sudo ls -l ce da radi, tako da ces morati u Cmnd_Alias uneti sve varijacije ls komande.Takodje, nisi zabranio sudo korisniku da edituje i pravi fajlove u tom diru, samo si zabranio prilaz ls komandom, ali ako ti to radi posao sto da ne.

To sa sudo nije nimalo prakticno
Takodje, i ako zabranis cd nesto, i dalje ce raditi ls direktorijum i cp necega_odatle.