第4章 権限の取得

システム管理者は (ユーザーも時には) 管理者アクセスでタスクを実行する必要があります。システムに root でアクセスすることは危険を伴う場合やシステムおよびデータの大幅な破損につながる可能性もあります。この章では、susudo といった setuid プログラムを使用して管理者権限を取得する方法を説明します。これらのプログラムを使うと、特定のユーザーが高レベルの制御およびシステムセキュリティーを維持しつつ、通常は root ユーザーしかできないタスクを実行することができます。
管理者制御や潜在的な危険、権限者アクセスの不適切な使用によるデータ破損の回避方法についての詳細は、『Red Hat Enterprise Linux 6 セキュリティガイド』 を参照してください。

4.1. su コマンド

ユーザーは、suを実行すると root パスワードを求められ、認証後に root shell プロンプトが表示されます。
su コマンドでログインした後は、そのユーザーは root ユーザーとなり、システムへの絶対管理アクセスを持つことになります[1]。さらに、root になるとユーザーは su コマンドを使って、パスワードを求められることなくシステム上の他のユーザーに変わることができます。
このプログラムは非常に強力なので、組織内の管理者はこのコマンドにアクセスできる人を制限してください。
簡単な制限方法は、wheel と呼ばれる特別な管理グループにユーザーを追加することです。これを実行するには、以下のコマンドを root で入力します。 
usermod -G wheel <username>
このコマンドで <username> の部分を wheel グループに追加したいユーザーに置き換えます。
また、User Manager を使って以下のようにグループのメンバーを修正することもできます。この手順を実行するには、管理者権限が必要なことに注意してください。
  1. パネル上の システム メニューをクリックして 管理 から ユーザーとグループ をクリックして User Manager を表示させます。別の方法では、shell プロンプトで system-config-users のコマンドを入力します。
  2. ユーザー タブをクリックして、ユーザーリストの中から必要なユーザーを選択します。
  3. ツールバーの 設定 をクリックして、ユーザー設定のダイアログボックスを表示させます (または ファイル メニューで 設定 を選択します) 。
  4. グループ タブをクリックし、wheel グループのチェックボックスにチェックマークを付けて OK をクリックします。
User Manager の詳細に関しては、「ユーザー管理ツールの使用」 を参照してください。
wheel グループにユーザーを追加した後は、この追加した特定のユーザーのみに su コマンドの使用を許可することが推奨されます。それには、su: /etc/pam.d/su で PAM 設定ファイルを編集する必要があります。このファイルをテキストエディターで開き、以下の行からコメント (#) を削除します。 
#auth           required        pam_wheel.so use_uid
この変更で、wheel の管理グループメンバーのみが su コマンドを使って別のユーザーに変わることができるようになります。

注記

root ユーザーはデフォルトで wheel グループの一部となっています。

[1] このアクセスは、SELinux の制限が有効な場合は、この制限対象となります。