更新日: 2013年4月14日
CentOS & Linux

ユーザー・グループの作成と root 権限を制限する設定〜 CentOS6

常時、root でのログインは好ましくないので、作業用の一般ユーザーを作成しておく。そして必要時にのみ一般ユーザーから sudo, su – で root になって作業を行います。

【お知らせ】英単語を画像イメージで楽に暗記できる辞書サイトを作りました。英語学習中の方は、ぜひご利用ください！

画像付き英語辞書 Imagict | 英単語をイメージで暗記
【開発記録】
英単語を画像イメージで暗記できる英語辞書サービスを作って公開しました

このエントリーは、CentOS 6.4 インストール～設定手順の目次の一部です。

作業用の一般ユーザーを追加

一般ユーザーを追加します。


# useradd hogehoge
# passwd hogehoge
Changing password for user hogehoge
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

# useradd hogehoge

# passwd hogehoge

Changing password for user hogehoge

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

sudo, su コマンドを使えるように設定

追加した一般ユーザー hogehoge を wheel グループ所属に変更する。


# id hogehoge
uid=500(hogehoge) gid=500(hogehoge) 所属グループ=500(hogehoge)
# usermod -G wheel hogehoge
# id hogehoge
uid=500(hogehoge) gid=10(wheel) 所属グループ=500(hogehoge),10(wheel)

# id hogehoge

uid=500(hogehoge) gid=500(hogehoge) 所属グループ=500(hogehoge)

# usermod -G wheel hogehoge

# id hogehoge

uid=500(hogehoge) gid=10(wheel) 所属グループ=500(hogehoge),10(wheel)

【追記　2014/08/08】
“usermod -G グループ名ユーザー名” で、ユーザーのグループを変更する場合、そのユーザーが既存のサブグループに所属している場合、その設定がクリアされます。

ユーザーがサブグループに既に所属している場合で、既存のサブグループの設定をそのままにする場合は、コンマで追加します。あるいは、”usermod -G” コマンド自体を使わないほうが良いです。詳しくは以下を参照お願いします。

Linux ユーザ情報の変更 – usermod
usermod -G でユーザに新しいサブグループを追加してはいけない – 続・夕陽のプログラマ

匿名さん、コメントありがとうございました！
【追記ここまで】

特定のグループのユーザーのみ、 sudo コマンドを使えるように限定する設定を行う。wheel グループのユーザーのみが sudo を使えるようにvisudoコマンドから設定する。


# visudo
# /etc/sudoers がオープンされるので以下の部分を探し、 "%wheel  ALL=(ALL)  ALL" とコメントアウトを外して有効にする。

## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL
#    ↓
## Allows people in group wheel to run all commands
%wheel        ALL=(ALL)       ALL

# visudo

# /etc/sudoers がオープンされるので以下の部分を探し、 "%wheel ALL=(ALL) ALL" とコメントアウトを外して有効にする。

## Allows people in group wheel to run all commands

# %wheel ALL=(ALL) ALL

# ↓

## Allows people in group wheel to run all commands

%wheel ALL=(ALL) ALL

以上のように変更。また、/etc/pam.d/su を編集して特定のグループのユーザーのみが管理者権限に切り替えられるように設定します。


# vi /etc/pam.d/su
auth            required        pam_wheel.so use_uid

# vi /etc/pam.d/su

auth required pam_wheel.so use_uid

の行を有効にすることで、root になれるユーザーを wheel グループに限定します。

以上を設定し終えたら、wheelグループ以外のユーザーが su や sudo コマンドで root になれないことを確認する。テスト用のユーザーを作って確認すると良いでしょう。


# useradd test
# passwd test
# su test
# sudo
# su -
# テスト終了後は、テスト用のユーザーをホームディレクトリとともに削除
# userdel -r test

# useradd test

# passwd test

# su test

# sudo

# su -

# テスト終了後は、テスト用のユーザーをホームディレクトリとともに削除

# userdel -r test

サーバ構築研究会の CentOS 本は、昔からお世話になっています。Linux の教科書は Linux の基本を学ぶのにおすすめです。

CentOS7で作るネットワークサーバ構築ガイド (Network server construction gu)

新しいLinuxの教科書

>> 次の記事 : OS 再起動後、route, ifconfig, ping コマンドなどでネットワークの接続を確認〜 CentOS6

<< 前の記事 : CUI ログインに変更と X Window System 起動時の日本語化〜 CentOS6

2件のコメント

匿名

2014年8月8日 20:22

usermod -G はユーザーが既に他のグループに入っている場合、その設定をクリアしちゃうんでその辺但し書きればなと

返信
- taka
  
  2014年8月8日 20:47
  
  ありがとうございます！追記いたしました。
  
  返信

ユーザー・グループの作成と root 権限を制限する設定 〜 CentOS6

作業用の一般ユーザーを追加

sudo, su コマンドを使えるように設定

Leave Your Message! コメントをキャンセル

ユーザー・グループの作成と root 権限を制限する設定〜 CentOS6