Sudo を設定する2014/08/01

当サイトの手順ではこの Sudo を使ったコマンド入力はしていませんが、コンプライアンス遵守が求められる昨今では、企業でのセキュリティ対応は重要です。 root 権限を安易に多くの人間に開放していると、悪意なくとも人的ミスにより事故が発生することがあります。組織内でサーバー運用する際は root 権限の分離をするためにも、Sudo の利用は必須と言えるでしょう。

なお、Sudo は最小構成インストールでもデフォルトでインストールされるため、新たにインストールする必要はありません。

[1]

root 権限を特定のユーザーに全て委譲する

[root@dlp ~]#

visudo

# 最終行に追記： centはroot権限を全て利用できる

cent    ALL=(ALL)       ALL

# 書式 ⇒ 委譲先ホスト=(委譲元) コマンド

# ユーザー「cent」で動作確認

[cent@dlp ~]$

/sbin/shutdown -r now

shutdown: Need to be root

# 正常に拒否される

[cent@dlp ~]$

sudo /sbin/shutdown -r now

Password:

# 自身のパスワード

The system is going down for reboot NOW!

# 実行できた

[2]	[1]の設定に加えて、しかし、特定のコマンドは許可しない。

[root@dlp ~]#

visudo

# 適当に49行目あたりに追記：システム停止系のコマンドエイリアス追記

Cmnd_Alias SHUTDOWN = /sbin/halt, /sbin/shutdown, \
/sbin/poweroff, /sbin/reboot, /sbin/init

# [1]の設定部分に追記 ( エイリアス「SHUTDOWN」は許可しない )

cent ALL=(ALL) ALL,

!SHUTDOWN

# ユーザー「cent」で動作確認

[cent@dlp ~]$

sudo /sbin/shutdown -r now

Sorry, user cent is not allowed to execute '/sbin/shutdown -r now' as root on dlp.srv.world.

# 拒否された

[3]	root権限が必要な特定のコマンドを特定のグループに属するユーザーに委譲する

[root@dlp ~]#

visudo

# 適当に51行目あたりに追記：ユーザー管理系のコマンドエイリアス追記

Cmnd_Alias USERMGR = /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod, \
/usr/bin/passwd

# 最終行：グループ「usermgr」に属するユーザーに「USERMGR」で定義したコマンド許可設定追記

%usermgr ALL=(ALL) USERMGR

[root@dlp ~]#

groupadd usermgr

[root@dlp ~]#

usermod -G usermgr cent

# ユーザー「cent」で動作確認

[cent@dlp ~]$

sudo /usr/sbin/useradd testuser

[cent@dlp ~]$

# 正常に完了

[cent@dlp ~]$

sudo /usr/bin/passwd testuser

Changing password for user testuser.
New UNIX password:

# testuserのパスワード設定

Retype new UNIX password:
passwd: all authentication tokens updated successfully.

[4]	root権限が必要な特定のコマンドを特定のユーザーに委譲する

[root@dlp ~]#

visudo

# 最終行：それぞれのユーザーに特定のコマンドの許可設定追記

cent    ALL=(ALL) /usr/sbin/visudo
fedora  ALL=(ALL) /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod, /usr/bin/passwd
ubuntu  ALL=(ALL) /bin/vi

# ユーザー「cent」で動作確認

[cent@dlp ~]$

sudo /usr/sbin/visudo

# 正常に開き保存編集もできる

## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##

# ユーザー「fedora」で動作確認

[fedora@dlp ~]$

sudo /usr/sbin/userdel -r testuser

[fedora@dlp ~]$

# 正常に完了

# ユーザー「ubuntu」で動作確認

[ubuntu@dlp ~]$

sudo /bin/vi /boot/grub/grub.conf

# 正常に開き保存編集もできる

# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE: You have a /boot partition. This means that

[5]	デフォルトでは /var/log/secure に Sudo の実行ログが記録されます。しかし /var/log/secure に記録されるログは Sudo のログのみではないため、Sudo のログのみを確認したいときは「grep 'sudo' /var/log/secure」等で表示を絞る必要があります。または以下のように Sudo のログを別ファイルに記録することも可能です。

[root@dlp ~]#

visudo

# 最終行に追記

Defaults syslog=local1

[root@dlp ~]#

vi /etc/rsyslog.conf

# 42行目：以下のように追記

*.info;mail.none;authpriv.none;cron.none

;local1.none

/var/log/messages

local1.*                                                                      /var/log/sudo.log

[root@dlp ~]#

/etc/rc.d/init.d/rsyslog restart

Shutting down system logger: [ OK ]
Starting system logger: [ OK ]