53セキュリティ対策(権限の委譲)
rootに移行することなく特定の管理コマンドだけ与えたい場合があります
これを実現するためにsudoコマンドとその設定ファイル /etc/sudoers があります
/etc/sudoers には実施させたいコマンドをフルパスで記載することが必要です
フルパスを探すには which コマンドを使います
# visudo /etc/sudoers を編集するコマンド(viは使わない)
このコマンドを引数なしで起動すると既存ファイルの一時的なコピーが作成される
コピーがviに読み込まれて編集可能になる
編集を終えると設定内容の文法チェックが行われる
問題がなければ反映、間違いがあれば再編集か破棄か選択肢の提示がなされる
_files/Image.png)
user名 ALL=(ALL) ALL ← これでrootと同等になれる
【演習1】
●ictu1431ユーザを作成してユーザ管理関係の権限を委譲します
①まずはユーザを作成します
[root@aso ~]# useradd ictu1431
[root@aso ~]# passwd ictu1431
ユーザー ictu1431 のパスワードを変更。
新しいパスワード:
新しいパスワードを再入力してください:
passwd: 全ての認証トークンが正しく更新できました。
[root@aso ~]#
②必要なコマンドのフルパスを検索して確認しておきます
_files/Image [1].png)
➂# visudo 実行ファイルの末尾に設定文を4行追加します
_files/Image [2].png)
④ictu1431 でログインしなおしてsudo -l コマンドで実行できる管理コマンドを確認します
_files/Image [3].png)
⑤試しにshadowパスワードファイルをのぞいてみます
(コマンドの頭に sudo を付けて実行します)
_files/Image [4].png)
rootしか読めないはずなにきちんと表示されています
ちなみに、sudoコマンド用に一度入力したパスワードは5分間は有効です(パスワードなしでコマンドを発行できます)
ユーザを追加・パスワード発行して新たな端末でログインできるかどうか確認します
⑥ictu1431ユーザでsudoコマンドを使いyokohamaユーザを登録してください
_files/Image [5].png)
⑦yokohamaユーザでログインしてください
_files/Image [6].png)
問題なくログインできればログアウトしてください
⑧ictu1431ユーザで再度ログインしてictu1400ユーザを削除しておきます
_files/Image [7].png)
【課題】
(1)wheelグループに poweoff や reboot の権限を与えてください。
(2)ictu1500ユーザを作成してwheelグループに所属させてください。
(3)ictu1500ユーザでログインして poweoff や reboot を行い確認してください。
うまくいったら、/etc/sudoersファイルのスクリーンショットを個別チャットで提出してください。