2017/04/11

LPICの問題_20141207_セキュリティ管理業務を実施する
■例題
sudoの説明として間違っているものを選びなさい。

1. suコマンドの代わりにroot権限を利用できる仕組みを提供する
2. /etc/sudoersに記述されたユーザーはsudoコマンドを実行できる
3. /etc/sudoersを編集するにはsudomodコマンドを使用する
4. sudoコマンドの実行はログに記載される

解答と解説

答えは 3. /etc/sudoersを編集するにはsudomodコマンドを使用する です。

sudoコマンドは、実行するコマンドにroot権限をつけて実行できる仕組みです。
suコマンドでrootにならないでも、各種管理作業を行うことができます。

/etc/sudoersファイルに記述されたユーザーのみsudoコマンドを実行できます。ユーザーの指定はグループでの指定も可能です。また、実行できるコマンドを制限することもできます。これらの仕組みを組み合わせることで、特定のグループに特定のコマンドだけを実行する権限を与える、といったことが実現できます。

etc/sudoersファイルのパーミッションは通常440、つまりrootユーザーは読み取りしか行えず、その他の一般ユーザーは読み取りすら行えません。

○/etc/sudoersファイルのパーミッション
$ ls -l /etc/sudoers
-r–r—–  1 root root 671 3月  3日  2009 /etc/sudoers

編集するには、visudoコマンドを実行します。visudoコマンドを実行すると、一時的に/etc/sudoers.tmpがコピーとして作成され、viエディタにファイルが読み込まれます。終了すると、変更内容がチェックされ、問題なければ/etc/sudoersが書き換えられます。

sudoコマンドは実行のたびにログを出力します。syslogにログを送信しますが、記録されるログファイルはsudo側のfacilityの設定と、syslog側の設定によります。CentOSなどではauthprivとして出力され、/var/log/secureに記録されています。

○/var/log/secureへの出力例
# tail /var/log/secure
Jun 18 19:01:47 host sudo: lpickun : TTY=pts/0 ; PWD=/home/lpickun ; USER=root ; COMMAND=/usr/sbin/useradd

よりセキュリティを考慮した場合、原則sudoコマンドしか使わせない、という運用ポリシーを採る場合もありますので、設定方法などをしっかりと把握しておきましょう。



 ホーム日常 未分類