2011年1月16日

[ubuntu-jp:3299] Re:root(スーパー)ユーザーについて

荻野といいます。

あまり詳しくありませんので補足希望です。

m.umeda@xxxxx said the following on 11/01/16 2:05:
> 初歩的な質問で、失礼致します。Ubuntuの流儀ではスーパーユーザー(root)を
> 使うのではなくて、sudoコマンドで一時的に一般ユーザーがスーパーユーザー権
> 限を取得して使うのだと言う認識でいたのですが、それでいいのでしょうか?


これは正しいと思います。ただ root でのログイン状態(su -)がうれしいこと
も(必要なことも)ありますので、その場合は sudo su - としています(どう
も sudo -i で良いようですが)。root でログインした状態になるのに root の
パスワードの設定は不用です。


> $ sudo passwd root
> hogehogeのパスワード:
> 新しいパスワード:
> 確認のパスワード:

root のパスワードはロックされているので、パスワードを設定することにより
ロックが解除になります。


> でのroot権限取得はシステム上、推奨されないやり方なのでしょうか?教えてい
> ただけたらと存じます。もし、正式なrootユーザーの復旧(?)方法が有るのな
> ら、是非ご教示願います。

root のロックは sudo passwd -l root で良い? ここは良くわかりません。デ
フォルトは /etc/shadow の設定は * のようなので、デフォルトに戻すなら、
sudo vipw -s で一行目のパスワード欄(二番目)を

root:*: (以下略)

に書き換えれば良いと思います。


root のパスワードを設定する場合の注意点は

・SSH server が稼働している場合、sshd_config のデフォルトの設定が
PermitRootLogin yes だったと思うのでこれを変更するか、総当たり攻撃を受け
ないように(例えば /etc/hosts.{deny,allow} などで)注意する必要がある。
FTP サーバなどでも同様の留意が必要かと。

・シングルユーザモードに入るときに sulogin が起動されるので、root のパス
ワードを忘れてしまうとシングルユーザモードに入れない。(再)起動時にシン
グルユーザモードで起動して root 権限を得ることを防止できるというメリット
もある。

・BSD 系で一般的な wheel グループのメンバーのみ su を許可するという設定
はデフォルトではないので、nobody を含むどのユーザでも su で root 権限取
得を試みることができる(総当たり攻撃ができる)。wheel グループを追加して
/etc/pam.d/su 中のコメントや man pam_wheel に従って設定すれば制限可能
(root も wheel グループに追加するのを忘れないように)。

が思いつきますが、他にもあるかも知れません。

--
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617 10B7 C117 07AE 1691 9BD1


投稿者 xml-rpc : 2011年1月16日 12:12
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/101365
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。