sudoの設定 - Knowlege Database

　*目次 [#m091eb98]

基本設定
sudoを使用できるユーザの制御
ユーザ毎に実行可能なコマンドを制限する
パスワードなしのコマンド実行
エラー対応
- sudo: sorry, you must have a tty to run sudo
参考

基本設定†

sudoの設定は /etc/sudoers にて行う。
直接編集も可能だが、構文チェックなどの機能を持つ以下のコマンド経由で編集を行うことを推奨する。

visudo

↑

sudoを使用できるユーザの制御†

設定ファイルのmain part以下に各ユーザ毎の設定を記述する。

wheelグループ所属ユーザを許可
以下の行のコメントを外すとwheelグループに所属する全ユーザでsudoの実行が可能となる。
```
%wheel        ALL=(ALL)       NOPASSWD: ALL
```

↑

ユーザ毎に実行可能なコマンドを制限する†

設定ファイルのmain part以下に各ユーザ毎の設定を記述する。
書式は以下となる。

[USER NAME] [接続元]=([実行ユーザ権限]) [コマンド1], [コマンド2], ...

例
guestユーザに接続元制限なしでroot権限で/etc/init.d/apachectrlの実行を許可する場合は以下と設定する。

guest ALL=(root) /etc/init.d/apachectl

↑

パスワードなしのコマンド実行†

NOPASSWDのオプションを設定することで、パスワードなしでコマンドの実行が可能となる。

guest ALL=(root) NOPASSWD: /etc/init.d/apachectl

↑

エラー対応†

↑

sudo: sorry, you must have a tty to run sudo†

ttyが存在しない場合に発生するエラー。
アプリケーション経由でsudoを使用する場合（zabbix_agentdからのremote commmand、web-consoleからのsudoなど）に発生する。デフォルト設定はsudo使用時にttyを要求する様に設定がされているため、これをコメントアウトすることで解消できる。

【変更前】Defaults requiretty
【変更後】# Defaults requiretty

◆注意◆
遠隔操作などでsudoが使用できてしまうため、セキュリティリスクを負うことは理解して設定すること

↑

参考†

止められないUNIXサーバのセキュリティ対策第5回
サービスをセキュアにするための利用制限（3）～管理者権限の制限のためのsuとsudoの基本～
```
http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec05/unix_sec01.html
```