スーパーユーザ(ルート権限保持者)

CentOSaccount group

2種類

 状態:-  閲覧数:761  投稿日:2014-05-08  更新日:2019-08-14
スーパーユーザ(ルート権限保持者)になる2つの方法
コマンド 内容
su ユーザーの切り替え。自分自身を他のユーザに切り替える
sudo ユーザーの切り替えはしないが、違うユーザーの権限でコマンドを入力したいときに使用(rootユーザーにより設定済みであることが前提条件)


実行設定ファイル


コマンド実行設定ファイル
・「su」「sudo」が取り扱う「suコマンド実行設定ファイル」は、それぞれ異なる
・「sudo」は、「su」の「suコマンド実行設定ファイル」ではなく、専用の「suコマンド実行設定ファイル」を使用
コマンド 実行設定ファイル
su /etc/pam.d/su
sudo /etc/sudoers


rootになると?


$が#へ変更

A.su

 閲覧数:389 投稿日:2014-05-08 更新日:2014-05-11 

suとは?


substitute user の略
・root権限(スーパーユーザー)に限らず、自分以外の別のユーザーの権限に切り替えるためのコマンド


デメリット


rootパスワード
・rootパスワードを入力する必要がある

suした後の実行コマンドがログに残らない
・suを実行すると任意のユーザー権限でシェルを実行するが、シェルを実行した後の各コマンドの実行履歴がログに残らない
・例えば、いつだれがroot権限でそのコマンドを実行したのかが特定できない

コマンド単位で権限を制限できない
・特定コマンドのみsuの実行を許したり、禁止したりすることができない
・例えばsu rootすると、スイッチしたrootユーザーのシェル権限が与えられ、その上で実行するすべてのコマンドがroot権限で動作することになる


考え方


・pam.dの設定で、rootユーザ(もしくはrootユーザ+wheelグループ)以外には、suコマンドを使用できないよう設定を行う


設定ファイル


▼/etc/pam.d/suファイル


設定確認


$ cat /etc/pam.d/su

suコマンドを許可したいアカウントを記述
root    ALL=(ALL)       ALL


wheelグループに指定されているアカウントを許可する場合
・コメントを外す
## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL



設定強化


▼/etc/pam.d/suファイル
#auth           required        pam_wheel.so use_uid

・先頭の#を削除すると、今後は「wheel」グループに所属していない限り、suコマンドでrootになることは出来なくなる。例えパスワード入力が正しくてもエラーとなる

B.sudo

 閲覧数:336 投稿日:2014-05-08 更新日:2014-05-11 

sudoとは?


Super User DO の略
・root権限(スーパーユーザー)に限らず、自分以外の別のユーザーの権限で、sudoの後に書いたコマンドを実行するためのコマンド

他ユーザでコマンドを実行したい時に利用するコマンド
・実際には、rootユーザ(=スーパーユーザ)でコマンドを実行するために利用することがほとんど
・このコマンドを利用することで、予め許可されたユーザに対して、「rootパスワード無しのプログラム実行」が可能となる

使用方法は?
・「root権限を必要とするコマンド」を実行する際に、「端末」にてsudoコマンドを使用
・具体的には、sudoを前に付けて半角スペースを開け、通常どおりに実行するコマンドをタイプする


メリット


sudoコマンドのメリット
・特定アカウントに対してsuコマンドを許可可能
・suコマンドで使用できるコマンドを制限可能
・rootパスワード不要
・実行コマンドを全てログに記録可能


利用するためには?


sudoパッケージがインストールされていることが条件
・パッケージの確認
rpm -q sudo
sudo-1.8.6p3-12.el6.x86_64



設定ファイル


▼/etc/sudoersファイル

注意!
▼/etc/sudoersは直接編集しない
▼/usr/sbin/visudoコマンドを実行して編集

個別ユーザ設定
・/etc/sudoers に記述せず、/etc/sudoers.d にファイルを作成し管理する方法が好ましい


設定確認


$ sudo cat /etc/sudoers



Set Group ID

ディレクトリへ設定する特殊なアクセス権



週間人気ページランキング / 9-18 → 9-24
順位 ページタイトル抜粋 アクセス数
1 Nginx設定。エラーログレベル | Nginx(Webサーバ) 17
2 PHP実行ユーザ設定 / CentOS6 / Apache | PHP(プログラミング言語) 14
3 9回目-13.MySQL5.7.21設定 | CentOS 7 2週間無料のお試し期間 9回目(さくらVPS) 12
4 PHPのmb_send_mail関数でメール送信できない | メール処理システム 10
5 ImageMagick と imagick の違い | ImageMagick(ソフトウェアスイート) 9
6 さくらVPS0 8
6 tar: これは tar アーカイブではないようです 8
7 manページ日本語表示 | CentOS 7 (CentOS) 7
7 Reached target Shutdown メッセージが表示されたあと、シャットダウンまたは再起動プロセスがハングアップする | CentOS 7 (CentOS) 7
8 ABRT により 問題が検出されました | CentOS 7 (CentOS) 6
8 PHPファイルでchmodエラー | PHP(プログラミング言語) 6
8 「設定ファイルに、暗号化 (blowfish_secret) 用の非公開パスフレーズの設定を必要とするようになりました。」対応 6
8 Python 3.5 アンインストール / yum remove | Python(プログラミング言語) 6
9 FFmpeg 2.8.15 を yum インストール | ソフトウェアスイート 5
9 echo と cat の違い 5
10 phpMyAdmin 4.4.3(phpMyAdmin) カテゴリー 4
10 6回目-10.Nginxでバーチャルホスト設定確認 | CentOS 7 2週間無料のお試し期間 6回目(さくらVPS) 4
10 「さくらVPS」で、「CentOS6」を「CentOS7」へ変更するためには? | CentOS 7 2週間無料のお試し期間 Link(さくらVPS) 4
10 cronで定期実行しているphpファイルを、コマンドライン経由で即時実行する | cron(Linuxコマンド) 4
10 MySQL 5.5 から 5.6 へのアップグレード | MySQL(データベース) 4
2021/9/25 1:01 更新