root になれるユーザの限定
root のパスワードを知ったら誰でも root になることができるのでは、運用上問題があります。自分一人しか使わない Linux サーバであっても、自分以外にも、各デーモンなどが使う様々なアカウントがありますし、テストでつくったアカウントを消し忘れて放置しているかもしれません。そのようなアカウントが乗っ取られた場合でも、root になれないアカウントであれば、被害を少なくすることができます。
/etc/group ファイルの wheel グループの行に、root になれるアカウントを追加します。
wheel:x:10:root,fumika, hogeo
/lib/security/pam_wheel.so ファイルが存在することを確認してから、/etc/pam.d/su の次の行のコメントを外して有効にします。
auth required /lib/security/pam_wheel.so use_uid
次に、su コマンドで、wheel グループのみが root になれるように、 /etc/login.defs に設定を追加します。
SU_WHEEL_ONLY yes
これで、wheel グループに指定したユーザだけが、su コマンドを実行して root になることができます。それ以外のユーザは、su コマンドを使い、正しいパスワードを入力してもエラーとなります。
ちなみに、su コマンドを使って root になるときは、フルパスで /bin/su - のように入力しましょう。これは root のパスワードを盗むトロイの木馬を入れられたときに気づかずに実行してしまうのを防ぎます。
なお、/etc/pam.d/su ファイルで次の行のコメントを外して有効にすると、wheel グループのユーザはパスワード無しで root になることが出来ますが、安全上の観点からお薦めしません。
auth sufficient /lib/security/pam_wheel.so trust use_uid
最後に、/etc/sudoers ファイルの次の行のコメントを外します。
root ALL=(ALL) ALL %wheel ALL=(ALL) ALL
こうすることで、wheel グループのユーザは sudo コマンドを利用できるようになります。
コメントはまだありません
No comments yet.
Sorry, the comment form is closed at this time.