У меня появилась необходимость настроить систему так, чтобы PATH содержал папки sbin, но запуск программ из под ней был невозможен обычному пользователю. Отчасти у меня это получилось реализовать с помощью простого скрипта. Вот как он выглядит:
#!/bin/bash
if [[ $UID -eq 0 ]]; then
exec "$@"
exit 0
fi
cmd=$(readlink -f "$1")
if [[ $cmd == /usr/sbin/* ]]; then
echo "Запуск программ из /usr/sbin запрещен для обычных пользователей."
exit 1
fi
exec "$@"
Но возникла проблема с "вшитием" этого в систему. Мне нужно чтобы независимо от оболочки перед каждой командой выполнялся этот скрипт, и в случае чего, "отклонял" выполнение команды.