suコマンドを実行可能なユーザーを限定するには

Linux Tips

suコマンドを実行可能なユーザーを限定するには

北浦訓行
2001/5/24

　一般的なLinuxディストリビューションでは、rootのパスワードさえ知っていれば、どんなユーザーでもsuコマンドでroot権限を取得することができ、セキュリティ上好ましくない。

　最近のディストリビューションではPAMが利用されているので、suコマンドを実行することができるユーザーを限定するには、wheelというグループに属するユーザーだけがsuコマンドでスーパーユーザーになれるように設定する。

　まず、rootでログインして、/etc/login.defsに以下の行を追加する。

SU_WHEEL_ONLY yes

　次に、/etc/pam.d/suの先頭に以下の行を追加する。

auth       required     /lib/security/pam_wheel.so 
            group=wheel

　続いて、/etc/groupのwheelグループにroot権限を取得できるユーザーIDを追加する。具体的には以下のとおりだ。

wheel:x:10:root,ユーザーID

　以上で設定は終了だ。

# shutdown -r now

　このコマンドでシステムを再起動すれば、上記の設定を行ったユーザーだけがsuコマンドでスーパーユーザーになれる。設定されていないユーザーがsuコマンドを実行して正しいパスワードを入力しても、パスワードが違うという旨のメッセージが表示される。

　Linux Squareフォーラム Linux Tipsカテゴリ別インデックス

	インストール／RPM		ブート／ブートローダ
	ファイル操作		環境設定
	ユーザー管理		コンソール／ターミナル
	X Window System		セキュリティ
	トラブルシューティング		他OS関係
	ネットワーク		ハードウェア
	Webサーバ		Samba
	GNOME		KDE
	OpenOffice.org		エミュレータ
	ソフトウェア		そのほか／FAQ
	全Tips公開順インデックス		Linux Tips月間ランキング
	Linux Squareフォーラム全記事インデックス

MONOist組み込み開発フォーラムの中から、Linux関連記事を紹介します

Linux ＆ OSS フォーラム新着記事

「使う」から「公開する」へ （2012/11/26）
　1人でも多くのエンジニアが自分で書いたコードを公開し、OSS界へデビューできるよう支援します。レッツ、OSS！
簡単にFreeBSD環境を作る3つの方法 （2012/11/15）
　最近、FreeBSDのインストール手順の解説をあまり見かけない。そこであえて基本に戻り、手軽に使い始める方法を紹介する
シェルスクリプト最大の罠、while問題 （2012/9/14）
　シェルスクリプトプログラミングで最もはまりやすい問題、それが「while問題」だ。今回はその原因を掘り下げてみよう
システムコールの特性を知る pipe(2)編 （2012/9/7）
　mmap(2)に続き、pipe(2)による処理の高速化について考察。データのサイズを工夫して、うまく効率化を図ろう