| root のパスワードを知ったら誰でも root になることができるのでは、運用上問題がある。 自分一人しか使わない Linux サーバであっても、自分以外にも、各デーモンなどが使う様々なアカウントがあったり、 テストでつくったアカウントを消し忘れて放置しているかも知れない。 そのようなアカウントが乗っ取られた場合でも、root になれないアカウントであれば、被害を少なくすることが出来る。
(例) admin というユーザーだけがrootになれるように設定
/etc/group ファイルの wheel グループの行に、root になれるアカウントを以下のように追加
vigr
追加内容
wheel:x:10:root ,admin
/lib/security/pam_wheel.so ファイルが存在することを確認してから、 /etc/pam.d/su の以下の行のコメントを外す
vi /etc/pam.d/su
コメントアウトする内容
auth required /lib/security/pam_wheel.so use_uid
auth sufficient /lib/security/pam_wheel.so trust use_uid
次に、 su コマンドで、wheel グループのみが root になれるように、 /etc/login.defs に次の設定を最下行に追加
vi /etc/login.defs
追加内容
SU_WHEEL_ONLY yes
最後に、/etc/sudoers ファイルの以下の行のコメントを外す
vi /etc/sudoers
コメントアウトする内容
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL |
システム&設定