sudoの設定 のバックアップ(No.3)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- sudoの設定 へ行く。
- 1 (2008-03-19 (水) 11:21:19)
- 2 (2008-03-19 (水) 12:31:00)
- 3 (2009-11-05 (木) 11:38:50)
*目次 [#m091eb98]
基本設定 †
sudoの設定は /etc/sudoers にて行う。
直接編集も可能だが、構文チェックなどの機能を持つ以下のコマンド経由で編集を行うことを推奨する。
visudo
sudoを使用できるユーザの制御 †
設定ファイルのmain part以下に各ユーザ毎の設定を記述する。
- wheelグループ所属ユーザを許可
以下の行のコメントを外すとwheelグループに所属する全ユーザでsudoの実行が可能となる。%wheel ALL=(ALL) NOPASSWD: ALL
ユーザ毎に実行可能なコマンドを制限する †
設定ファイルのmain part以下に各ユーザ毎の設定を記述する。
書式は以下となる。
[USER NAME] [接続元]=([実行ユーザ権限]) [コマンド1], [コマンド2], ...
- 例
guestユーザに接続元制限なしでroot権限で/etc/init.d/apachectrlの実行を許可する場合は以下と設定する。
guest ALL=(root) /etc/init.d/apachectl
エラー対応 †
sudo: sorry, you must have a tty to run sudo †
ttyが存在しない場合に発生するエラー。
アプリケーション経由でsudoを使用する場合(zabbix_agentdからのremote commmand、web-consoleからのsudoなど)に発生する。
デフォルト設定はsudo使用時にttyを要求する様に設定がされているため、これをコメントアウトすることで解消できる。
【変更前】Defaults requiretty 【変更後】# Defaults requiretty
◆注意◆
遠隔操作などでsudoが使用できてしまうため、セキュリティリスクを負うことは理解して設定すること
参考 †
- 止められないUNIXサーバのセキュリティ対策 第5回
サービスをセキュアにするための利用制限(3)〜管理者権限の制限のためのsuとsudoの基本〜
http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec05/unix_sec01.html