ZoneExpressご契約プランでFedora 12をご利用のお客様向けにセキュリティ関連の推奨設定を載せています。

一般ユーザでも”sudo”コマンド使用することにより管理者権限ユーザと同様のコマンドが使用可能となります。

sudoのメリットとして

• rootパスワードが流出しにくくなる。

• 管理者以外の限定ユーザで管理者権限のコマンドを使用できる。

コマンド例 ($=一般ユーザプロンプト)

$ cat /etc/shadow
cat: /etc/shadow: 許可がありません

上記出力通り、/etc/shadowを閲覧出来るのは管理者権限ユーザのみですが

sudoコマンドを通して実行します。

$ sudo cat /etc/shadow
Password:
root:......

管理者権限ユーザ同様にファイルを閲覧出来ます。

sudoのパスワードには実行ユーザのログインパスワードを使用します。

sudo実行時、もしくは認証失敗時でも実行ログが/var/log/secureへ出力されます。

sudo設定ファイルを編集し、sudoの使用を許可するグループを指定します。

sudo設定ファイル編集コマンドを実行します。(通常のviコマンドと操作は同じです)

# visudo

sudo許可グループには”wheel”グループを使用します。（デフォルトで作成されているグループです）

## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

下記の様にコメントアウト(#)を外し、変更を保存します。

## Allows people in group wheel to run all commands
 %wheel        ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

これでwheelグループのユーザはsudoを使用可能になりました。

usermodのグループオプションでユーザにグループを追加出来ます。

# usermod -G wheel <ユーザ名>

groupsコマンドでユーザの所属グループを確認する事が出来ます。

# groups <ユーザ名>

対象ユーザは次回ログインからsudoを使用可能となります。

wheelグループへ追加したユーザ(sudo許可ユーザ)にrootコマンドのエイリアスを追加し

sudoを介してのrootコマンド実行時のコマンドパス入力を省きます。

$ vi /home/<追加したユーザ>/.bash_profile

PATH=$PATH:$HOME/bin

下記の様に編集します。

PATH=$PATH:$HOME/bin:/sbin:/usr/sbin:/usr/local/sbin

編集を保存し、対象ユーザは再ログイン後より設定が有効となります。

sudoでroot権限でコマンドを実行する際は、rootユーザの環境変数が適用されますが

PATH等初期化された環境変数が適用されます。

そのためTomcat環境のセットアップ等で環境変数を変更している場合には、環境変数設定ファイルを読み込む”-i”オプションをご使用下さい。

• Tomcatを起動する場合の例

$ sudo -i /usr/local/java/apache-tomcat-5.5.28/bin/startup.sh

デフォルトでは全てのアクセス元を許可した状態であり

悪意ある外部ユーザのパスワードアタック等の脅威がある為

下記を参考に追加設定を推奨致します。

• SSHのアクセス制御

• SSH公開鍵アクセス設定