以下の内容はユーザーubuntuでログインしているとことを前提とする。
/home/ubuntu
/var/log
(1) コマンド実行時に一時的にroot権限を取得する。
$ sudo <command>
(2) rootへ変更する。
$ su root
# <command>
rootはプロンプトが$から#へ変更される。
/etc/securettyファイルへrootがログインできる端末を指定する。
下記記述でsecurettyファイルを空にすることでログインを禁止する。
$ su root
$ echo > /etc/securetty
EC2はでフォルトでrootログインを禁止している。
SSHのパスワードによる接続を禁止する。
/etc/ssh/sshd_config
PasswordAuthentication no // yesをnoに変更
/etc/ssh/sshd_config
PermitRootLogin no
/etc/ssh/sshd_config
(例) 22から2222へ変更。
Port 22222
/etc/init.d/ssh restart
sudoユーザーは一時的にroot権限でコマンドを実行できる。
sudoの設定はvisudoで行う。
sudoグループはデフォルトで作成される。sudoグループのメンバーはsudoできる。
$ sudo visudo
// パスワードやホームディレクトリなど
$ cat /etc/passwd | grep <user>
// ユーザー名・グループ名、ユーザーID、グループID
$ id <user>
// ユーザー情報表示
$ cat /etc/passwd
// ユーザー一覧表示
$ cut -d: -f1 /etc/passwd
useraddはユーザー追加時にホームディレクトリを作成しない。
$ sudo useradd <user>
$ sudo useradd -s /sbin/nologin <user> # ログインできないユーザー
adduserはユーザー追加時にホームディレクトリを作成する。
$ sudo adduser <user>
ユーザー作成後にOSへログインを禁止する。
usermod -s /bin/false
$ sudo passwd <user>
groups <user>
$ cut -d: -f1 /etc/group
$ sudo groupadd <group>
$ sudo gpasswd -a <user> <group>
オプションを指定しないと既存グループが削除される。
$ sudo gpasswd -d <user> <group>
$ sudo passwd root
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
デフォルトはすべてのユーザーがsuでrootになれる。
suを実行可能なユーザーをwheelグループのユーザーへ制限する。
/etc/pam.d/su
// コメントアウトを解除
# auth required pam_wheel.so
auth required pam_wheel.so
wheelグループのユーザーを除いてsu rootができなくなる。
ubuntu@xxx:~$ su root
Password:
su: Permission denied
wheelグループを作成しubuntuを追加する。
ubuntu@xxx:~$ sudo addgroup --gid 11 wheel
Adding group `wheel' (GID 11) ...
Done.
// wheelグループへubuntu追加
ubuntu@xxx:~$ sudo usermod -G wheel ubuntu
ユーザーubuntuはsu rootできる。
ubuntu@xxx:~$ su root
Password:
root@xxx: #
No comments yet.
改行と段落タグは自動で挿入されます。
メールアドレスは表示されません。