第10章 sudo アクセスの管理

/etc/sudoers ファイルは、どのユーザーが sudo コマンドを使用して他のコマンドを実行できるかを指定します。ルールは、個別のユーザーおよびユーザーグループに適用できます。エイリアスを使用して、ホスト、コマンド、さらにはユーザーのグループに対するルールをより簡単に定義することもできます。デフォルトのエイリアスは、/etc/sudoers ファイルの最初の部分で定義されます。

認可されていないユーザーが sudo を使用してコマンドを入力すると、システムは文字列 <username> : user NOT in sudoers を含むメッセージをジャーナルログに記録します。

デフォルトの /etc/sudoers ファイルは、認可の情報と例を提供します。対応する行をコメント解除すると、特定のルール例をアクティブにできます。ユーザー認可に関するセクションには、以下の概要が示されます。

## Next comes the main part: which users can run what software on
## which machines  (the sudoers file can be shared between multiple
## systems).

次の形式を使用して、新しい sudoers 認可を作成したり、既存の認可を変更したりできます。

<username> <hostname.example.com>=(<run_as_user>:<run_as_group>) <path/to/command>

ここでは、以下のようになります。

これらの変数のいずれかを ALL に置き換えることで、ルールをすべてのユーザー、ホスト、またはコマンドに適用できます。

! 演算子を使用して引数を負の値で指定できます。たとえば、!root は root 以外のすべてのユーザーを指定します。特定のユーザー、グループ、およびコマンドを許可する方が、特定のユーザー、グループ、およびコマンドを拒否するよりも安全です。これは、許可ルールにより、認可されていない新規ユーザーまたはグループもブロックされるためです。

システムは、/etc/sudoers ファイルを最初から最後まで読み取ります。したがって、ファイルにユーザーの複数のエントリーが含まれている場合、エントリーは順番に適用されます。値が競合する場合は、最も具体的な一致ではない場合でも、システムは最後の一致を使用します。

システム更新中にルールを保持し、エラーを簡単に修正するには、ルールを /etc/sudoers ファイルに直接入力するのではなく、/etc/sudoers.d/ ディレクトリーに新しいファイルを作成して、新しいルールを入力します。システムは、/etc/sudoers ファイル内で以下の行に到達する際に、/etc/sudoers.d ディレクトリー内のファイルを読み取ります。

#includedir /etc/sudoers.d

この行の頭にある番号記号 (#) は構文の一部であり、行がコメントであることを意味するものではありません。そのディレクトリー内のファイル名にはピリオドを使用することができません。また、末尾にチルダ (~) を使用することもできません。