ネットワークセキュリティ

ZoneExpressご契約プランでFedora 12をご利用のお客様向けにセキュリティ関連の推奨設定を載せています。

sudoコマンド

一般ユーザでも”sudo”コマンド使用することにより管理者権限ユーザと同様のコマンドが使用可能となります。

sudoのメリットとして

  • rootパスワードが流出しにくくなる。
  • 管理者以外の限定ユーザで管理者権限のコマンドを使用できる。

コマンド例 ($=一般ユーザプロンプト)

$ cat /etc/shadow
cat: /etc/shadow: 許可がありません

上記出力通り、/etc/shadowを閲覧出来るのは管理者権限ユーザのみですが

sudoコマンドを通して実行します。

$ sudo cat /etc/shadow
Password:
root:......

管理者権限ユーザ同様にファイルを閲覧出来ます。

sudoのパスワードには実行ユーザのログインパスワードを使用します。

sudo実行時、もしくは認証失敗時でも実行ログが/var/log/secureへ出力されます。

sudo実行可能=管理者権限ユーザ同等の変更が行える為、ご注意ください。

sudo設定ファイルの編集

sudo設定ファイルを編集し、sudoの使用を許可するグループを指定します。

sudo設定ファイル編集コマンドを実行します。(通常のviコマンドと操作は同じです)

# visudo

sudo許可グループには”wheel”グループを使用します。(デフォルトで作成されているグループです)

## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

下記の様にコメントアウト(#)を外し、変更を保存します。

## Allows people in group wheel to run all commands
 %wheel        ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

NOPASSWD: ALLが付与されている文を使用する場合はwheelグループのユーザには

sudo実行時にパスワード入力を求めません。

これでwheelグループのユーザはsudoを使用可能になりました。

wheelグループにユーザを追加する

usermodのグループオプションでユーザにグループを追加出来ます。

# usermod -G wheel <ユーザ名>

groupsコマンドでユーザの所属グループを確認する事が出来ます。

# groups <ユーザ名>

対象ユーザは次回ログインからsudoを使用可能となります。

.bash_profileへ追記する

wheelグループへ追加したユーザ(sudo許可ユーザ)にrootコマンドのエイリアスを追加し

sudoを介してのrootコマンド実行時のコマンドパス入力を省きます。

$ vi /home/<追加したユーザ>/.bash_profile
PATH=$PATH:$HOME/bin

下記の様に編集します。

PATH=$PATH:$HOME/bin:/sbin:/usr/sbin:/usr/local/sbin

編集を保存し、対象ユーザは再ログイン後より設定が有効となります。

sudoのオプション

sudoでroot権限でコマンドを実行する際は、rootユーザの環境変数が適用されますが

PATH等初期化された環境変数が適用されます。

そのためTomcat環境のセットアップ等で環境変数を変更している場合には、環境変数設定ファイルを読み込む”-i”オプションをご使用下さい。

  • Tomcatを起動する場合の例
$ sudo -i /usr/local/java/apache-tomcat-5.5.28/bin/startup.sh

SSHの設定

デフォルトでは全てのアクセス元を許可した状態であり

悪意ある外部ユーザのパスワードアタック等の脅威がある為

下記を参考に追加設定を推奨致します。

/home/vps.netcube.ne.jp/public_html/wiki/data/pages/fedora/ネットワークセキュリティ.txt · 最終更新: 2010/04/28 12:06 by admin
ZoneExpress VPS NEO Boot OpenSolaris Creative Commons License Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0