2011年1月19日

[ubuntu-jp:3303] Re:root(スーパー)ユーザーについて

梅田です。

山内さん、btmさん、荻野さんレスを有り難うございました。当方の不勉強又は
力不足で、荻野さんの回答レスの半分ほどがやっとの思いで出来た所です。荻野
さんの回答のこの辺りから、理解不能、または、理解が怪しくなってきました。
山内さんの、回答のページは英語で有り、翻訳サイトにかけて読みましたが、
sudo推奨、sudoの優位性について何らかの記述がされているとしか理解出来ませ
んでした(申し訳ありません。一応、大学2年まで英語を学び、他の科目に比べ

て力を入れて居たのですが、向いて居ないのか、結局、簡単な会話しか出来るよ
うにはなりませんでした)。訳文の日本語は不自然過ぎて、読んで居ても、前述
以上の理解には至りませんでした

<荻野さんの解説の不明点>

> root のパスワードを設定する場合の注意点は
>
> ・SSH server が稼働している場合、sshd_config のデフォルトの設定が
> PermitRootLogin yes だったと思うのでこれを変更するか、総当たり攻撃を受け
> ないように(例えば /etc/hosts.{deny,allow} などで)注意する必要がある。
> FTP サーバなどでも同様の留意が必要かと。

サーバーを立てて居りませんので、この記述は今一つ、ピンときませんでした。

> ・シングルユーザモードに入るときに sulogin が起動されるので、root のパス
> ワードを忘れてしまうとシングルユーザモードに入れない。(再)起動時にシン
> グルユーザモードで起動して root 権限を得ることを防止できるというメリット
> もある。

シングルユーザーモードは、システムメンテナンスのモードと理解しました(下
記は、WEBで調べた物のコピーです)。この記述を読む限り、rootパスワードを
忘れても、復旧可能と有るので大丈夫ではと思うのですが。Ubuntuでは一般ユー
ザーパスワードを知られたらアウトですが、色々工夫してパスワード管理して居
れば、一般的なUNIXの手法rootとrootパスワードの存在はユーザーパスワードで
ほとんど出来てしまう(先日、試した限りでは$ sudo cd/hogehoge/・・・は出
来ませんでしたが)のは却ってセキュリティー上、好ましいとは言えないような
気がするのですが。


>  Linuxには,システムのメンテナンスの際などに利用するユーザー・モードと
> して,「シングル・ユーザー・モード」が用意されています。シングル・ユー
> ザー・モードでは,グラフィカル・ログインは利用できず,コンソール以外の
> 端末からは操作できません。管理者であるrootだけがシステムにアクセスでき
> ます。
>  一方,「マルチユーザー・モード」は,複数のユーザーがシステムを同時に
> アクセスできます。ユーザー・モードはラン・レベルと呼ばれる0から6までの
> 数字で管理されています。シングル・ユーザー・モードのラン・レベルは「1」
> です。
>  システムのメンテナンスの例として,rootのパスワードを忘れた場合につい
> て説明します。
>  ブート・マネージャにGNU GRUBを用いている場合には,GRUBメニューで
>「Fedora.(2.6.21-1.3194.fc7)」などのラベル名を選択し,Eキーを押しま
> す。次の画面では先頭に「kernel」とある行に移動し,再度Eキーを押します。
> すると,「grub edit>」というGRUBのプロンプトの後に,
> 「kernel /vmlinuz-2.6.21-1.3194.fc7 ro root=/dev/VolGroup 00 /LogVol 00
> rhgb quiet」などの文字が表示され,カーソルが行末にあるはずです。
>
>  ここで,末尾に「 single」(または「 1」)と入力してEnterキー,次いでB
> キーを押すと,シングル・ユーザー・モードで起動します。「sh- 3 .2 #」とい
> うプロンプトが表示された時点で,シングル・ユーザー・モード上でシェルが起
> 動しています。
>  passwdコマンドを起動して,新しいパスワードを2回入力すれば,rootのパス
> ワードを忘れてしまったとしても再び利用できるようになります。
>



> ・BSD 系で一般的な wheel グループのメンバーのみ su を許可するという設定
> はデフォルトではないので、nobody を含むどのユーザでも su で root 権限取
> 得を試みることができる(総当たり攻撃ができる)。wheel グループを追加して
> /etc/pam.d/su 中のコメントや man pam_wheel に従って設定すれば制限可能
> (root も wheel グループに追加するのを忘れないように)。
>
> が思いつきますが、他にもあるかも知れません。

申し訳ありません。こちらも英語で弱りました。個人ユーザーに於いては、一般
ユーザーを2つ作り、片方を制限ユーザー、もう片方を非制限ユーザーにして使
い分ければ良いと言う意味でしょうか?

※実は当方の知りたい事はこれだけなのです。

$ sudo passwd root
hogehogeのパスワード:
新しいパスワード:
確認のパスワード:

$ su -
上記パスワード入力

# ←プロンプトがrootに

この作業をして

・やりかたはこれでいいのか?>>>荻野さん流に言えば、どうも良くは無さそ
うだ>>>manの英語はちゃんと読めるだろうか・・・読めないですよね・・・
多分

。rootのロックは解除出来てるのか?>>>これはどうも出来ているらしい

・推奨される行為じゃ無いようですね?・・・でも、何故?個人で使う分には
 一般ユーザーでなんでも出来てしまうのを避ける意味でも、rootが有った方が
いいような気がするんですよね・・・。

フォーラムに初心者って言う項目が有るのを見つけました。そこへ質問を投げて
見ます。折角の皆さんのアドバイスを理解するために、そちらで、初歩的な説明
をいただき、理解出来たら、こちらのサマリー投稿をしたいと存じます。

尚、個人的事情で申し訳ないですが、風邪をこじらせたようです。熱が有って、
現在臥床中です。治ったら、フォーラムへ行き、この投稿のレスがもし有れば
サマリーに反映させて頂きたいと存じます。


--
梅田 光則 <m.umeda@xxxxx>


投稿者 xml-rpc : 2011年1月19日 08:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/101471
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。