Red Hat Summit11.3. 非特権ユーザーが特定のコマンドを実行できるようにする
管理者は、/etc/sudoers.d/ ディレクトリーにポリシーを設定することで、非特権ユーザーが特定のワークステーションに特定のコマンドを入力できるようにすることができます。これを行うと、ユーザーに完全な sudo アクセス権を付与したり、ユーザーに root パスワードを付与したりするよりも、セキュリティーが向上します。その理由は次のとおりです。
- 特権を必要とする操作のより細かい制御。ユーザーに完全な管理アクセス権を付与せずに、特定のホストで特定の操作を実行することを許可できます。
-
ロギングの改善。ユーザーが
sudoを通じて操作を実行したときに、その操作が root だけでなくユーザー名とともにログに記録されます。 -
透明性のある制御。ユーザーが
sudo権限の使用を試みるたびにメール通知を送信するように設定できます。
前提条件
- システムへの root アクセス権があります。
手順
/etc/sudoers.dディレクトリーに新規ファイルを作成します。visudo -f /etc/sudoers.d/<filename>
# visudo -f /etc/sudoers.d/<filename>Copy to Clipboard Copied! ファイルがエディターで自動的に開きます。
次の行を
/etc/sudoers.d/<filename>ファイルに追加します。<username> <hostname.example.com> = (<run_as_user>:<run_as_group>) <path/to/command>
<username> <hostname.example.com> = (<run_as_user>:<run_as_group>) <path/to/command>Copy to Clipboard Copied! -
<username>は、ユーザー名に置き換えます。 -
<hostname.example.com>は、ホストの URL に置き換えます。 -
(<run_as_user>:<run_as_group>)は、コマンドの実行許可に関連するユーザーまたはグループに置き換えます。このセクションを省略すると、<username>は root としてコマンドを実行できます。 -
<path/to/command>は、コマンドへの完全な絶対パスに置き換えます。また、コマンドパスの後にオプションを追加することにより、特定のオプションおよび引数を指定したコマンドのみを実行するようにユーザーを制限することもできます。オプションを指定しないと、すべてのオプションが有効な状態でコマンドを使用できます。 - 同じホストで 2 つ以上のコマンドを 1 行で許可するには、コンマで区切り、コンマの後にスペースを付けることができます。
-
たとえば、user1 が dnf コマンドと reboot コマンドを host1.example.com で実行できるようにするには、次のように入力します。
user1 host1.example.com = /bin/dnf, /sbin/reboot
user1 host1.example.com = /bin/dnf, /sbin/rebootオプション: ユーザーが
sudo権限を使用しようとするたびにメール通知を受け取るには、ファイルに次の行を追加します。Defaults mail_always Defaults mailto="<email@example.com>"
Defaults mail_always Defaults mailto="<email@example.com>"Copy to Clipboard Copied! - 変更を保存し、エディターを終了します。
検証
ユーザーが
sudo特権でコマンドを実行できるかどうかを確認するには、アカウントを切り替えます。su <username> -
# su <username> -Copy to Clipboard Copied! ユーザーとして、
sudoコマンドを使用してコマンドを入力します。sudo whoami
$ sudo whoami [sudo] password for <username>:Copy to Clipboard Copied! ユーザーの
sudoパスワードを入力します。権限が正しく設定されている場合、sudo は設定されたユーザーとしてコマンドを実行します。たとえば、
dnfコマンドを使用すると、次の出力が表示されます。... usage: dnf [options] COMMAND ...
... usage: dnf [options] COMMAND ...Copy to Clipboard Copied! システムから次のエラーメッセージが返された場合、sudo を使用してコマンドを実行することがユーザーに許可されていません。
<username> is not in the sudoers file. This incident will be reported.
<username> is not in the sudoers file. This incident will be reported.+ システムから次のエラーメッセージが返された場合、設定が正しく完了していません。
<username> is not allowed to run sudo on <host.example.com>.
<username> is not allowed to run sudo on <host.example.com>.+ システムから次のエラーメッセージが返された場合、ユーザーのルールでコマンドが正しく定義されていません。
`Sorry, user _<username>_ is not allowed to execute '_<path/to/command>_' as root on _<host.example.com>_.`
`Sorry, user _<username>_ is not allowed to execute '_<path/to/command>_' as root on _<host.example.com>_.`
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}