初期設定 : Sudo の設定2021/08/17 |
Sudo を利用することにより、root 権限の委譲や権限の分離、root パスワードの使い回しを防止できる等々、セキュリティを高めることができます。
|
|
[1] | Sudo をインストールします。 |
root@dlp:~# apt -y install sudo |
[2] | root 権限を特定のユーザーに全て委譲する。 |
root@dlp:~#
# 最終行に追記 : [bullseye] はroot権限を全て利用できる # 書式 ⇒ 委譲先 ホスト=(委譲元) コマンド bullseye ALL=(ALL:ALL) ALL # visudo を終了するには Ctrl + x
# ユーザー [bullseye] で動作確認 bullseye@dlp:~$ /usr/sbin/reboot
Failed to set wall message, ignoring: Access denied
Failed to reboot system via logind: Access denied
Failed to open initctl fifo: Permission denied
Failed to talk to init daemon.
# 拒否される
bullseye@dlp:~$ sudo /usr/sbin/reboot We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. [sudo] password for bullseye: # bullseye のパスワード ..... ..... # 正常に再起動される |
[3] | [1] の設定に加えて、しかし、特定のコマンドは許可しない。 |
root@dlp:~#
# システム停止系のコマンドエイリアス追記 # Cmnd alias specification Cmnd_Alias SHUTDOWN = /usr/sbin/halt, /usr/sbin/shutdown, \ /usr/sbin/poweroff, /usr/sbin/reboot, /usr/sbin/init, /usr/bin/systemctl # [1] の設定部分に追記 (エイリアス [SHUTDOWN] は許可しない) bullseye ALL=(ALL:ALL) ALL, !SHUTDOWN # ユーザー [bullseye] で動作確認 bullseye@dlp:~$ sudo /usr/sbin/reboot [sudo] password for bullseye: Sorry, user bullseye is not allowed to execute '/usr/sbin/reboot' as root on dlp.srv.world. # 拒否された
|
[4] | root 権限が必要な特定のコマンドを特定のグループに属するユーザーに委譲する。 |
root@dlp:~#
# ユーザー管理系のコマンドエイリアス追記 # Cmnd alias specification
Cmnd_Alias USERMGR = /usr/sbin/adduser, /usr/sbin/useradd, /usr/sbin/newusers, \
/usr/sbin/deluser, /usr/sbin/userdel, /usr/sbin/usermod, /usr/bin/passwd
# 最終行 : グループ [usermgr] に属するユーザーに [USERMGR] で定義したコマンドの許可を追記
%usermgr ALL=(ALL:ALL) USERMGR
# ユーザー [bullseye] で動作確認 bullseye@dlp:~$ sudo /usr/sbin/useradd testuser bullseye@dlp:~$ bullseye@dlp:~$ sudo /usr/bin/passwd testuser Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully # 正常に実行完了した
|
[5] | root 権限が必要な特定のコマンドを特定のユーザーに委譲する。 |
root@dlp:~#
# 最終行 : それぞれのユーザーに特定のコマンドの許可設定追記 fedora ALL=(ALL:ALL) /usr/sbin/visudo debian ALL=(ALL:ALL) /usr/sbin/adduser, /usr/sbin/useradd, /usr/sbin/newusers, \ /usr/sbin/deluser, /usr/sbin/userdel, /usr/sbin/usermod, /usr/bin/passwd ubuntu ALL=(ALL:ALL) /usr/bin/vim # 正常に保存編集が可能 ## Sudoers allows particular users to run various commands as ## the root user, without needing the root password. ## # ユーザー [debian] で動作確認 debian@dlp:~$ sudo /usr/sbin/userdel -r testuser
debian@dlp:~$
# 正常に完了
# ユーザー [ubuntu] で動作確認
ubuntu@dlp:~$
sudo /usr/bin/vim /root/.profile
# 正常に保存編集が可能 # ~/.profile: executed by Bourne-compatible login shells. |
[6] | Sudo のログは、デフォルトでは ログ管理サービス Journal ([journalctl] コマンドでログ閲覧) や Rsyslog ([/var/log/auth.log] ファイルでログ閲覧) 経由で保管されますが、Sudo のログのみを別ファイルに記録したい場合は以下のように設定します。 |
root@dlp:~#
# 最終行に追記 Defaults syslog=local1
root@dlp:~#
vi /etc/rsyslog.conf # 61行目 : 追記 local1.* /var/log/sudo.log
auth,authpriv.*;local1.none /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
root@dlp:~# systemctl restart rsyslog
|
Sponsored Link |
|