Rootになれるユーザを限定する 
提供: Astarisk Works Wiki
目次 |
はじめに
Linuxは権限管理に関してWindowsよりもさまざまな設定が可能ですが、結局rootを盗られてしまっては、やりたい放題されてしまいます。~ rootを盗る常套手段として、パスワードの甘いアカウントで不正侵入し、そこから攻めていく方法があります。そして、滅多に使わないアカウントやアプリケーションのみが利用するアカウント(Mysql、fml等はプロセスを実行する専用アカウントが必要)は往々にしてセキュリティが甘くなりがちです。ですからそのようなアカウントからsuコマンドでrootになれないよう設定することでセキュリティを高めることができます。~ その方法を説明します。
/etc/groupの設定
rootで/etc/groupをviなどで開きその中でwheelグループの行を探します。
… wheel:x:10:root …
その行の末尾に例えば、次のようにrootになれるユーザのアカウント名を追加します。
>wheel:x:10:root,higashiyama,morishita,azuma
この例ではhigashiyama,morishita,azumaという3人のユーザがrootになれるように設定しています。
/etc/pam.d/suの設定
suコマンドの認証ファイルである/etc/pam.d/suファイルをvi等で開き、次の行を探します。
#auth required /lib/security/$ISA/pam_wheel.so use_uid
標準では上のようにコメントアウトされているので行頭の#を削除して、次のように書き換えます。 >auth required /lib/security/$ISA/pam_wheel.so use_uid group=wheel
確認
ここまでの作業はrootで行っているはずなので、そのまま、rootから抜けずに、suでrootになれるユーザに代わって、再びrootにsuしてみましょう。
root>su - morishita morishita>su - Password: root>
設定がうまく言っていれば、rootになれるはずです。~ 一度、rootになれるユーザから抜けて、次にrootになれないユーザにsuして同様にrootになれるかを試します。
root>exit morihsita>exit root>su - fml fml>su - Password: su: パスワードが違います
今度はrootになれないはずです。このような結果が得られれば設定は成功です。~ これを確認するまで、設定に利用したrootから抜けると再びrootになれない可能性があります。そのような状態になったら、マシンのところまで行ってコンソールからrootとしてログインしないと設定ファイルを書き換えられなくなり面倒です。ですから、設定に使ったrootから抜ける前に確認してください。
rootになれるユーザを増やす/減らすときは?
/etc/groupを編集し、wheelグループのメンバーを変更すれば、rootになれるユーザを増やしたり、減らしたりすることができます。
