Linux環境設定/指定したユーザのみsuコマンドの実行を可能にする
の編集
Top
/
Linux環境設定
/
指定したユーザのみsuコマンドの実行を可能にする
[
トップ
] [
編集
|
差分
|
バックアップ
|
添付
|
リロード
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
-- 雛形とするページ --
(no template pages)
#navi(../) * 特定のユーザのみsuコマンドの実行を可能にする(suコマンドの制限) [#ud6e4159] サーバ構築を行い、環境を複数のユーザに提供する時など、suコマンドによるユーザ切り替えを制限したい場合があります。~ (rootのパスワードが知られた場合、suにてrootに切り替えられてしまうなど。)~ 以下の設定を行うことによりsuコマンドを特定のユーザ以外使用できなくなります。~ 尚、本資料はCentOS5.8で動作確認をしました。 #contents #htmlinsertpcsp(linux_ads_top.html,linux-sp.html) * 特定ユーザのみsuコマンドを実行できるようにする設定 [#yd6146fe] 以下は、/etc/pam.d/suの内容です。(CentOS5.8) 1: #%PAM-1.0 2: auth sufficient pam_rootok.so 3: # Uncomment the following line to implicitly trust users in the "wheel" group. 4: #auth sufficient pam_wheel.so trust use_uid 5: # Uncomment the following line to require a user to be in the "wheel" group. 6: #auth required pam_wheel.so use_uid 7: auth include system-auth 8: account sufficient pam_succeed_if.so uid = 0 use_uid quiet 9: account include system-auth 10: password include system-auth 11: session include system-auth 12: session optional pam_xauth.so 特定ユーザのみsuコマンドを利用可能にするには、6行目のコメントを外し有効にします。 - 修正前 6: #auth required pam_wheel.so use_uid - 修正後 6: auth required pam_wheel.so use_uid 次にsuコマンドを利用できるユーザをwheelグループに所属させます。~ コマンドは以下の通りです。 usermod -G wheel ユーザアカウント ''注意''~ 上記のコメントを外すとwheelグループに所属しているユーザ以外はsuコマンドが利用できなくなります。~ 後でpam.d/suの設定を戻そうとしても、suコマンドでrootになれないのでご注意を!~ ssh root@localhostなどでrootでログインすることにより修正することもできますが、rootによるsshログインを不許可にしている場合などはご注意くださいませ。 ** suコマンドの実行制限を実際に試してみる [#d7087813] 以下の手順で試してみました。 + rootユーザで作業 + /etc/pam.d/su を上記に記したようにコメントを外し保存 + sakura, tsubaki, ajisaiの3つのアカウントで試す + sakura を wheel グループに所属させる usermod -G wheel sakura + rootからログアウト + sakuraアカウントでログインしsuコマンドを試す~ suコマンドによりtsubakiとajisaiに切り替えができました。 [sakura@centos ~]$ su - tsubaki Password: [tsubaki@centos ~]$ logout #br [sakura@centos ~]$ su - ajisai Password: [ajisai@centos ~]$ logout + tsubakiアカウントでログインしsuコマンドを試す~ エラーとなりsuコマンドで別ユーザアカウントに切り替えができません。 [tsubaki@centos ~]$ su - sakura Password: su: incorrect password [tsubaki@centos ~]$ su - ajisai Password: su: incorrect password + ajisaiアカウントでログインしsuコマンドを試す~ エラーとなりsuコマンドで別ユーザアカウントに切り替えができません。 [ajisai@centos ~]$ su - sakura Password: su: incorrect password [ajisai@centos ~]$ su - tsubaki Password: su: incorrect password #htmlinsertpcsp(linux_ads_btm.html,linux-sp.html)
タイムスタンプを変更しない
#navi(../) * 特定のユーザのみsuコマンドの実行を可能にする(suコマンドの制限) [#ud6e4159] サーバ構築を行い、環境を複数のユーザに提供する時など、suコマンドによるユーザ切り替えを制限したい場合があります。~ (rootのパスワードが知られた場合、suにてrootに切り替えられてしまうなど。)~ 以下の設定を行うことによりsuコマンドを特定のユーザ以外使用できなくなります。~ 尚、本資料はCentOS5.8で動作確認をしました。 #contents #htmlinsertpcsp(linux_ads_top.html,linux-sp.html) * 特定ユーザのみsuコマンドを実行できるようにする設定 [#yd6146fe] 以下は、/etc/pam.d/suの内容です。(CentOS5.8) 1: #%PAM-1.0 2: auth sufficient pam_rootok.so 3: # Uncomment the following line to implicitly trust users in the "wheel" group. 4: #auth sufficient pam_wheel.so trust use_uid 5: # Uncomment the following line to require a user to be in the "wheel" group. 6: #auth required pam_wheel.so use_uid 7: auth include system-auth 8: account sufficient pam_succeed_if.so uid = 0 use_uid quiet 9: account include system-auth 10: password include system-auth 11: session include system-auth 12: session optional pam_xauth.so 特定ユーザのみsuコマンドを利用可能にするには、6行目のコメントを外し有効にします。 - 修正前 6: #auth required pam_wheel.so use_uid - 修正後 6: auth required pam_wheel.so use_uid 次にsuコマンドを利用できるユーザをwheelグループに所属させます。~ コマンドは以下の通りです。 usermod -G wheel ユーザアカウント ''注意''~ 上記のコメントを外すとwheelグループに所属しているユーザ以外はsuコマンドが利用できなくなります。~ 後でpam.d/suの設定を戻そうとしても、suコマンドでrootになれないのでご注意を!~ ssh root@localhostなどでrootでログインすることにより修正することもできますが、rootによるsshログインを不許可にしている場合などはご注意くださいませ。 ** suコマンドの実行制限を実際に試してみる [#d7087813] 以下の手順で試してみました。 + rootユーザで作業 + /etc/pam.d/su を上記に記したようにコメントを外し保存 + sakura, tsubaki, ajisaiの3つのアカウントで試す + sakura を wheel グループに所属させる usermod -G wheel sakura + rootからログアウト + sakuraアカウントでログインしsuコマンドを試す~ suコマンドによりtsubakiとajisaiに切り替えができました。 [sakura@centos ~]$ su - tsubaki Password: [tsubaki@centos ~]$ logout #br [sakura@centos ~]$ su - ajisai Password: [ajisai@centos ~]$ logout + tsubakiアカウントでログインしsuコマンドを試す~ エラーとなりsuコマンドで別ユーザアカウントに切り替えができません。 [tsubaki@centos ~]$ su - sakura Password: su: incorrect password [tsubaki@centos ~]$ su - ajisai Password: su: incorrect password + ajisaiアカウントでログインしsuコマンドを試す~ エラーとなりsuコマンドで別ユーザアカウントに切り替えができません。 [ajisai@centos ~]$ su - sakura Password: su: incorrect password [ajisai@centos ~]$ su - tsubaki Password: su: incorrect password #htmlinsertpcsp(linux_ads_btm.html,linux-sp.html)
テキスト整形のルールを表示する