読者です 読者をやめる 読者になる 読者になる

su / sudo 権限の設定

≪suコマンドの実行可能ユーザーを制限≫

suコマンドは system グループに所属するユーザーのみが実行出来るように設定する。

 

system グループを作成する

groupadd system

作成された事を確認

grep "system" /etc/group

 

system グループに kmurakoshi ユーザーを追加

usermod -G system kmurakoshi

grep "system" /etc/group

 

/etc/login.defsの編集

/etc/login.defsに以下の行を追記してsuコマンドの制限を有効にする。

vim /etc/login.defs

SU_WHEEL_ONLY yes

 

/etc/pam.d/suの編集

suコマンド実行可能なグループ(system)を設定

vim /etc/pam.d/su

#auth       required      pam_wheel.so use_uid

 ↓ 

auth       required      pam_wheel.so use_uid group=system

 

/etc/groupの編集

/etc/groupの system に、suコマンドの実行を許可するユーザー(kmurakoshi)を追加。

vim /etc/group

system:x:1001:root,kmurakoshi

 

変更した設定を有効にするために、システムを再起動。

shutdown -r now

 

設定確認用のテストユーザー作成

useradd hoge

passwd hoge

 

suコマンド実行可能なユーザー(kmurakoshi)

[kmurakoshi@localhost ~]$ su -

Password:

[root@localhost ~]#

 

suコマンド実行不可能なユーザー(hoge)

[hoge@localhost ~]$ su -

Password:

su: incorrect password

[hoge@localhost ~]$

 

 

≪sudo 権限の設定≫

sudoコマンドは system,manager グループに所属するユーザーのみが実行出来るように設定する。

manager グループを作成する

groupadd manager

作成された事を確認

grep "manager" /etc/group

 

manager ユーザーを作成

useradd manager

passwd manager

 

manager グループに manager ユーザーを追加

usermod -G manager manager

grep "manager" /etc/group

 

/etc/sudoers を visudo コマンドから編集

%manager        ALL=(ALL)       ALL

 %system         ALL=(ALL)       ALL

 

su権限を禁止した場合には以下のような設定を施す

Cmnd_Alias NOTSU = /bin/su

 %manager        ALL=(ALL)       ALL,!NOTSU

 

変更した設定を有効にするために、システムを再起動。

shutdown -r now

 

ユーザーにPATH を通しておく。

su - kmurakoshi

vim .bash_profile

PATH=$PATH:$HOME/bin/

 ↓

PATH=$PATH:$HOME/bin:/sbin:/usr/sbin/

source .bash_profile

 

sudo コマンドの実行確認

su - kmurakoshi

[kmurakoshi@localhost ~]$ sudo service httpd restart

Password: (passwd で設定したパスワードを入力)

Stopping httpd:                                            [  OK  ]

Starting httpd:                                            [  OK  ]