Что мне запрещено?

Выполнять команды, перечисленные в Cmnd_Alias DENY = ...?

Я даже не помню, есть ли там такое. Надо в man глянуть, но мне кажется, что если в конфиге больше DENY не встречается, то это админы, которые его редактировали, просто забыли удалить. Скорее всего, DENY - это был или есть в файле список команд, которые пользователям группы devadmins запрещено запускать. Типа такое определение либо есть, либо когда-то было (утилиты с потолка):

Cmnd_Alias      DENY = /sbin/shutdown, /sbin/halt, /sbin/reboot

Да, так и есть:

[devadmin@secret-host ~]$ sudo cat /etc/sudoers | grep -E -v '^#|^$'
Cmnd_Alias DENY = /usr/bin/passwd, /usr/bin/sudoedit, /usr/sbin/visudo, /usr/bin/chattr, /usr/bin/mc, /usr/bin/su
Defaults    !requiretty
Defaults   !visiblepw
Defaults    always_set_home
Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
Defaults    env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults    env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults    env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults    env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root	ALL=(ALL) 	ALL
%citadmins	ALL=(ALL)	ALL, !DENY
%ibadmins	ALL=(ALL)	ALL, !DENY
%devadmins	ALL=(ALL)	ALL, !DENY

Но не понятно, в чём смысл, я же могу sodoers открыть напрямую для редактирования через nano...

открыть можешь, а сохранить - ?

Да, только что отредактировал через nano и добавил одну строку.

Чем mc не угодил, что его внесли в список DENY? С такой политикой пользователи будут тупо переименовывать и запускать.

Да там вся эта муть сугубо бесполезная. Админ позаприщал какие-то рандомные софтины, но похоже даже не подумал что этот запрет элементарно обходится.

Хотя может расчёт был на то что что наткнувшись на запрет коллега задумается и откажется от задуманного (или пойдёт консультироваться со старшим товарищем)