[ubuntu-jp:3299] Re: root（スーパー）ユーザーについて

[Mitsuru Ogino]

荻野といいます。

あまり詳しくありませんので補足希望です。

m.umeda ＠ kzc.biglobe.ne.jp said the following on 11/01/16 2:05:
> 初歩的な質問で、失礼致します。Ubuntuの流儀ではスーパーユーザー（root）を
> 使うのではなくて、sudoコマンドで一時的に一般ユーザーがスーパーユーザー権
> 限を取得して使うのだと言う認識でいたのですが、それでいいのでしょうか？

これは正しいと思います。ただ root でのログイン状態（su -）がうれしいこと
も（必要なことも）ありますので、その場合は sudo su - としています（どう
も sudo -i で良いようですが）。root でログインした状態になるのに root の
パスワードの設定は不用です。


> $ sudo passwd root
> hogehogeのパスワード：
> 新しいパスワード：
> 確認のパスワード：

root のパスワードはロックされているので、パスワードを設定することにより
ロックが解除になります。


> でのroot権限取得はシステム上、推奨されないやり方なのでしょうか？教えてい
> ただけたらと存じます。もし、正式なrootユーザーの復旧（？）方法が有るのな
> ら、是非ご教示願います。

root のロックは sudo passwd -l root で良い？ ここは良くわかりません。デ
フォルトは /etc/shadow の設定は * のようなので、デフォルトに戻すなら、
sudo vipw -s で一行目のパスワード欄（二番目）を

  root:*: （以下略）

に書き換えれば良いと思います。


root のパスワードを設定する場合の注意点は

・SSH server が稼働している場合、sshd_config のデフォルトの設定が
PermitRootLogin yes だったと思うのでこれを変更するか、総当たり攻撃を受け
ないように（例えば /etc/hosts.{deny,allow} などで）注意する必要がある。
FTP サーバなどでも同様の留意が必要かと。

・シングルユーザモードに入るときに sulogin が起動されるので、root のパス
ワードを忘れてしまうとシングルユーザモードに入れない。（再）起動時にシン
グルユーザモードで起動して root 権限を得ることを防止できるというメリット
もある。

・BSD 系で一般的な wheel グループのメンバーのみ su を許可するという設定
はデフォルトではないので、nobody を含むどのユーザでも su で root 権限取
得を試みることができる（総当たり攻撃ができる）。wheel グループを追加して
/etc/pam.d/su 中のコメントや man pam_wheel に従って設定すれば制限可能
（root も wheel グループに追加するのを忘れないように）。

が思いつきますが、他にもあるかも知れません。

-- 
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617  10B7 C117 07AE 1691 9BD1