[セキュリティ]


この日記のはてなブックマーク数 このエントリーを含むはてなブックマーク

sudoを使えば特定のユーザ(グループ)に、そのユーザ権限では実行できないコマンドの実行権限を与えることができます。sudoの設定は/etc/sudoersにて行いますが、viで開くと危険なのでvisudoコマンドを使用します。/etc/sudoersをみると以下のような書式があるかと思います。


root ALL=(ALL) ALL


上記の例では、rootユーザがすべてのホストALLにおいて、すべてのユーザ権限にて(ALL)、すべてのコマンドを実行できることを表します。


[例]
ユーザusernameはホストlocalhostにおいてすべてのユーザ権限で以下のコマンドを実行できる。
※コマンドはフルパスで記述すること


username localhost=(ALL) /usr/sbin/visudo,/usr/sbin/service


※パスワードなしにsudoを実行できるようにするには以下のようにすればよい

username server.ksknet.net=root NOPASSWD:/usr/sbin/visudo,/usr/sbin/service


グループに許可する場合は%グループ名とする


[例]

%groupname server.ksknet.net=(ALL) NOPASSWD:/usr/sbin/visudo,/usr/sbin/service


sudoを実行した時のログを取るには以下のようにしてログファイル名を記入します。


Defaults logfile=/var/log/sudolog


sudo -l
Password: (パスワードを入力)

User username may run the following commands on this host:
(ALL) /usr/sbin/visudo
(ALL) /usr/sbin/service


一回パスワードが受け付けられると、一定時間の間は再度パスワードを入れずにsudoを実行できます。


パスワード入力を標準入力からうけつけるには-Sオプションをつければよい

関連記事
sshdfilter
iptalbesでdhcpを通す
ssh-agent - 公開鍵認証の鍵管理
chrootssh
chrootkit - rootkitの検出
scponly
iptablesでftpを通す
macアドレスによるフィルタリング
公開鍵認証でパスワードなしにログイン
tripwireによるファイル改竄検知
zlib + libpng + gd + mrtgのインストール
SNMPの設定
rp_filter - スプーフィング対策
nmapによるOSの特定
john the ripper
system-config-securitylevel-tui - ファイアウォールの設定
iptables - SNAT
iptables - DNAT
MRTGディレクトリにアクセスできない
iptablesでpingを通す
sudo
/etc/ftpusers でftpのアクセス制限
Ctrl+Alt+deleteキーによる再起動の禁止
sshdがサポートするプロトコルのバージョン
qpopperのバージョンを隠すには
iptablesのルール一覧を表示するには
BINDのバージョン情報を隠すには
iptables 設定 - ルールの削除
tcp_syncookies - SYN Flood攻撃を防ぐには
SSHでログインできるユーザを制限
RedHat 9.0以前のパッケージのアップデート
iplogによるトラフィック監視
suコマンドの制限
rootユーザで直接SSHへログインするのを防ぐ
広告