それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

suコマンドを制限する

suを制限すると言えばWheelだけではない。

suを制限したいことありました。ubuntu だとSuなんてはじめから使えない。

Ubuntuはどうやってるか

/etc/shadow ファイルを見てみたら一目で分かる。

  1 root:!:14166:0:99999:7:::
  2 daemon:*:13991:0:99999:7:::
  3 bin:*:13991:0:99999:7:::
  4 sys:*:13991:0:99999:7:::
  5 sync:*:13991:0:99999:7:::
  6 games:*:13991:0:99999:7:::
  7 man:*:13991:0:99999:
実現方法
一度有効にしたrootアカウントの無効化
なんらかの理由で有効にしたrootアカウント
を再び無効にするには、以下のコマンドを実行して下さい。	
sudo usermod -p '!' root
https://wiki.ubuntulinux.jp/UbuntuTips/Others/RootSudo

たったこれだけ。

そう、たったこれだけ。WheelもPAMもいらない。

su を制限する = Rootにパスワードをつけない

でもPAMつかえって・・・

*BSDな人達はWheelを使う。BSDをまねして出来たのがLinuxのPAM_WHEELだから。
Wheelでも良いんですよね。

選択肢は二つある。

Suを制限する方法は二つある。*1

  1. PAMを使う
    • pam wheel を使う
  2. root パスワードを使わない
    • sudo 設定をする

ubuntuはさらにちょっと特殊なことやってる。

  • シングルユーザモードに入れない!

Ubuntuのsuloginプログラムはロックされたrootパスワードを取り扱えるように改変されています。

sudo の方が管理しやすい。pam でユーザー一覧を管理するより、Sudoで必要なだけ権限を渡すのが便利で良いと思うし、sudo でログ取れるし、なにより、Historyに残る。そして、Rootの.bash_history が汚れない。「誰がナニをしたか」を簡単に追跡できて好き


*1:PAM使うならもっといろいろ有るんだけど。。。

広告を非表示にする