Show Table of Contents
第6章 権限の取得
システム管理者は (時にはユーザーも) 管理者アクセスでタスクを実行する必要があります。システムに
root ユーザーでアクセスすることは危険を伴う可能性があり、システムおよびデータの著しい破損につながる場合もあります。本章では、su や sudo といった setuid プログラムを使用して管理者権限を取得する方法を説明します。これらのプログラムを使うと、高レベルの制御およびシステムセキュリティーを維持しつつ、通常は root ユーザーしかできないタスクを特定のユーザーが実行することができます。
管理者制御や潜在的な危険、管理者アクセスの不適切な使用によるデータ破損の回避方法は 『Red Hat Enterprise Linux 7 Security Guide』 を参照してください。
6.1. su ユーティリティーを使用した管理アクセスの設定
ユーザーは、
su を実行するとroot パスワードを求められ、認証後に root シェルプロンプトが表示されます。
su コマンドでログインすると、そのユーザーは root ユーザーとなり、システムへの絶対管理アクセスを持つことになります。このアクセスは、SELinux が有効な場合はこれによる制限を受けますが、root になったユーザーは、 su コマンドを使用して、パスワードを求められることなくシステム上の他のユーザーに切り換えることができます。
このプログラムは非常に強力なので、組織内の管理者はこのコマンドにアクセスできる人を制限してください。
簡単な制限方法は、wheel と呼ばれる特別な管理グループにユーザーを追加することです。これを実行するには、以下のコマンドを
root で実行します。
~]# usermod -a -G wheel username
このコマンドで、username を、
wheel グループに追加するユーザー名に置き換えます。
また、ユーザー 設定ツールを使用して以下のようにグループのメンバーを修正することもできます。この手順を実行するには、管理者権限が必要なことに注意してください。
- Super キーを押してアクティビティーの概要に入り、
Usersと入力して Enter を押します。ユーザー 設定ツールが表示されます。Super キーはキーボードやハードウェアによって異なりますが、通常は スペースバー の左側にある Windows または Command キーです。 - 変更を有効にするには、 ボタンをクリックし、有効な管理者パスワードを入力します。
- 左側の列でユーザーアイコンをクリックし、右側のペインでユーザーのプロパティーを表示します。
- を
StandardからAdministratorに変更します。これにより、ユーザーがwheelグループに追加されます。
ユーザー ツールの詳細は、「グラフィカル環境でのユーザーの管理」 を参照してください。
wheel グループにユーザーを追加したら、この追加した特定のユーザーにのみ su コマンドの使用を許可することが推奨されます。それには、su、/etc/pam.d/su の PAM (プラグ可能な認証モジュール) 設定ファイルを編集する必要があります。このファイルをテキストエディターで開き、# 文字を削除して以下の行からコメントを削除します。
#auth required pam_wheel.so use_uid
この変更で、
wheel の管理グループメンバーのみが su コマンドを使用して別のユーザーに切り換えることができるようになります。
注記
root ユーザーはデフォルトで wheel グループの一員になっています。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.