futuremix

root のパスワードを知ったら誰でも root になることができるのでは、運用上問題があります。自分一人しか使わない Linux サーバであっても、自分以外にも、各デーモンなどが使う様々なアカウントがありますし、テストでつくったアカウントを消し忘れて放置しているかもしれません。そのようなアカウントが乗っ取られた場合でも、root になれないアカウントであれば、被害を少なくすることができます。

/etc/group ファイルの wheel グループの行に、root になれるアカウントを追加します。

  wheel:x:10:root,fumika, hogeo

/lib/security/pam_wheel.so ファイルが存在することを確認してから、/etc/pam.d/su の次の行のコメントを外して有効にします。

  auth       required     /lib/security/pam_wheel.so use_uid

次に、su コマンドで、wheel グループのみが root になれるように、 /etc/login.defs に設定を追加します。

  SU_WHEEL_ONLY yes

これで、wheel グループに指定したユーザだけが、su コマンドを実行して root になることができます。それ以外のユーザは、su コマンドを使い、正しいパスワードを入力してもエラーとなります。

ちなみに、su コマンドを使って root になるときは、フルパスで /bin/su - のように入力しましょう。これは root のパスワードを盗むトロイの木馬を入れられたときに気づかずに実行してしまうのを防ぎます。

なお、/etc/pam.d/su ファイルで次の行のコメントを外して有効にすると、wheel グループのユーザはパスワード無しで root になることが出来ますが、安全上の観点からお薦めしません。

  auth       sufficient   /lib/security/pam_wheel.so trust use_uid

最後に、/etc/sudoers ファイルの次の行のコメントを外します。

  root    ALL=(ALL)  ALL
  %wheel  ALL=(ALL)  ALL

こうすることで、wheel グループのユーザは sudo コマンドを利用できるようになります。