前回は、言語設定を行い、日本語環境を整えた。
今回は、rootユーザーのセキュリティを向上させます。
まずは、sudoを使ったコマンド実行ができるユーザーをwheelグループのメンバーだけにします。
ちなみに、ユーザー(anata)をwheelグループに所属させるには、次のコマンドを実行します。
# usermod -Ga wheel anataオプションは、G:セカンダリグループ、a:追加という意味。
次のコマンドで、sudoが実行できるユーザーを編集します。
# visudo実際には、/etc/sudoersというファイルを編集することになります。
## Allows people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL両方ともwheelグループのみに権限を与えることになりますが、上はパスワード入力が必要、下は不要という違いがあります。
次に、su -などのコマンドで、rootとしてログインできるユーザーを制限します。
$ sudo vi /etc/pam.d/suファイル内の次の行をコメントアウトすることで、wheelグループに属したユーザーのみが、rootとしてログイン可能となります。
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uidこちらも2種類選択可能で、上をコメントアウトすると、パスワード無しでユーザの切り替えが可能ですが、下ではパスワードの入力が必要となります。
下側を有効にするほうが好ましいでしょう。
ということで、結果として、rootではログインできず、rootへログインできるのも、rootのパスワードを知っているwheelグループに所属したユーザー飲のみに制限ができました。
さて、少しですがセキュリティが向上しました。
次回はWebサーバの構築を行います。
