*目次 [#m091eb98]

基本設定

sudoの設定は /etc/sudoers にて行う。
直接編集も可能だが、構文チェックなどの機能を持つ以下のコマンド経由で編集を行うことを推奨する。

visudo

sudoを使用できるユーザの制御

設定ファイルのmain part以下に各ユーザ毎の設定を記述する。

  • wheelグループ所属ユーザを許可
    以下の行のコメントを外すとwheelグループに所属する全ユーザでsudoの実行が可能となる。 
    %wheel        ALL=(ALL)       NOPASSWD: ALL

ユーザ毎に実行可能なコマンドを制限する

設定ファイルのmain part以下に各ユーザ毎の設定を記述する。
書式は以下となる。

[USER NAME] [接続元]=([実行ユーザ権限]) [コマンド1], [コマンド2], ...

  • guestユーザに接続元制限なしでroot権限で/etc/init.d/apachectrlの実行を許可する場合は以下と設定する。
guest ALL=(root) /etc/init.d/apachectl

エラー対応

sudo: sorry, you must have a tty to run sudo

ttyが存在しない場合に発生するエラー。
アプリケーション経由でsudoを使用する場合(zabbix_agentdからのremote commmand、web-consoleからのsudoなど)に発生する。 デフォルト設定はsudo使用時にttyを要求する様に設定がされているため、これをコメントアウトすることで解消できる。

【変更前】Defaults requiretty
【変更後】# Defaults requiretty

◆注意◆
遠隔操作などでsudoが使用できてしまうため、セキュリティリスクを負うことは理解して設定すること

参考

  • 止められないUNIXサーバのセキュリティ対策 第5回
    サービスをセキュアにするための利用制限(3)〜管理者権限の制限のためのsuとsudoの基本〜
    http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec05/unix_sec01.html
トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS