2011年1月25日

[ubuntu-jp:3324] Re:root(スーパー)ユーザーについて

こんばんは、山本@Project Vine です。

荻野さんが色々と解説なさっておられますので、
私はそもそも sudo ができるユーザについて、コメント致します。

2011年1月19日8:34 <m.umeda@xxxxx>:
> 。rootのロックは解除出来てるのか?>>>これはどうも出来ているらしい
>

> ・推奨される行為じゃ無いようですね?・・・でも、何故?個人で使う分には
> 一般ユーザーでなんでも出来てしまうのを避ける意味でも、rootが有った方が
> いいような気がするんですよね・・・。

sudo が実行できる一般ユーザは、
"一般ユーザ" であり、なおかつ、"root 権限をもつユーザ" です。
だから、root をロック解除する必要は無いのです。

Ubuntu の場合、sudo が実行できる一般ユーザは、
admin グループに所属しています。
# Mac OS X では、staff グループが
# 管理者グループになっています。
つまり、通常のインストーラ時に作った一般ユーザは、
admin グループに所属しますので、その一般ユーザは、
sudo が実行できるのです。
それ以降に、useardd で一般ユーザを作成したとしても、
デフォルトでは admin グループに所属されません。

例えば、munepi という私のアカウントの場合は、

munepi@xxxxx:~$ id
uid=1000(munepi) gid=1000(munepi)
所属グループ=1000(munepi),4(adm),20(dialout),24(cdrom),46(plugdev),111(lpadmin),119(admin),122(sambashare)

となっているので、sudo が実行できる一般ユーザです。
useradd コマンドで vine という一般ユーザを作成してみます。

munepi@xxxxx:~$ sudo useradd vine
munepi@xxxxx:~$ id vine
uid=1001(vine) gid=1001(vine) 所属グループ=1001(vine)

すると、vine という一般ユーザは、admin グループに属していないことが分かります。
試しに、vine という一般ユーザが sudo apt-get update とできるかやってみると、
みごとに弾かれます。

munepi@xxxxx:~$ sudo su vine
$ whoami
vine
$ sudo apt-get update
[sudo] password for vine:
vine is not in the sudoers file. This incident will be reported.

ちなみに、sudo の設定は、
$ sudo visudo から編集ができます。
実際に、/etc/sudoers に sudo の設定が書き込まれていますが、
直接適当なエディタでこのファイルを編集しないのは、
visudo は、パーミッションの保持や
構文のチェックなどを行ったり、
同時に複数の管理者による編集ができないような
保障の仕組みなどが備わっています。

長々と書きましたが、
Ubuntu の root をロックし sudo による管理者は、
そのディストリビューションのポリシー(方針)ですので、
それに素直に従うのがよろしいと思います。

--
山本 宗宏 Munehiro "munepi" Yamamoto <munepi@xxxxx>
GPG Key ID: 0xC24B55FD
GPG Key Fingerprint: 61EC 85A8 5F34 5E35 91E8 8AD0 1D28 D5DE C24B 55FD


投稿者 xml-rpc : 2011年1月25日 18:04
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/101577
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。