[ubuntu-jp:3303] Re: root（スーパー）ユーザーについて

[m.umeda ＠ kzc.biglobe.ne.jp]

梅田です。

山内さん、btmさん、荻野さんレスを有り難うございました。当方の不勉強又は
力不足で、荻野さんの回答レスの半分ほどがやっとの思いで出来た所です。荻野
さんの回答のこの辺りから、理解不能、または、理解が怪しくなってきました。
山内さんの、回答のページは英語で有り、翻訳サイトにかけて読みましたが、
sudo推奨、sudoの優位性について何らかの記述がされているとしか理解出来ませ
んでした（申し訳ありません。一応、大学２年まで英語を学び、他の科目に比べ
て力を入れて居たのですが、向いて居ないのか、結局、簡単な会話しか出来るよ
うにはなりませんでした）。訳文の日本語は不自然過ぎて、読んで居ても、前述
以上の理解には至りませんでした

＜荻野さんの解説の不明点＞

> root のパスワードを設定する場合の注意点は
> 
> ・SSH server が稼働している場合、sshd_config のデフォルトの設定が
> PermitRootLogin yes だったと思うのでこれを変更するか、総当たり攻撃を受け
> ないように（例えば /etc/hosts.{deny,allow} などで）注意する必要がある。
> FTP サーバなどでも同様の留意が必要かと。

サーバーを立てて居りませんので、この記述は今一つ、ピンときませんでした。

> ・シングルユーザモードに入るときに sulogin が起動されるので、root のパス
> ワードを忘れてしまうとシングルユーザモードに入れない。（再）起動時にシン
> グルユーザモードで起動して root 権限を得ることを防止できるというメリット
> もある。

シングルユーザーモードは、システムメンテナンスのモードと理解しました（下
記は、WEBで調べた物のコピーです）。この記述を読む限り、rootパスワードを
忘れても、復旧可能と有るので大丈夫ではと思うのですが。Ubuntuでは一般ユー
ザーパスワードを知られたらアウトですが、色々工夫してパスワード管理して居
れば、一般的なUNIXの手法rootとrootパスワードの存在はユーザーパスワードで
ほとんど出来てしまう（先日、試した限りでは$ sudo cd/hogehoge/・・・は出
来ませんでしたが）のは却ってセキュリティー上、好ましいとは言えないような
気がするのですが。


> 　Linuxには，システムのメンテナンスの際などに利用するユーザー・モードと
> して，「シングル・ユーザー・モード」が用意されています。シングル・ユー
> ザー・モードでは，グラフィカル・ログインは利用できず，コンソール以外の
> 端末からは操作できません。管理者であるrootだけがシステムにアクセスでき
> ます。 
> 　一方，「マルチユーザー・モード」は，複数のユーザーがシステムを同時に
> アクセスできます。ユーザー・モードはラン・レベルと呼ばれる0から6までの
> 数字で管理されています。シングル・ユーザー・モードのラン・レベルは「1」
> です。 
> 　システムのメンテナンスの例として，rootのパスワードを忘れた場合につい
> て説明します。 
> 　ブート・マネージャにGNU GRUBを用いている場合には，GRUBメニューで
>「Fedora.（2.6.21-1.3194.fc7）」などのラベル名を選択し，Eキーを押しま
> す。次の画面では先頭に「kernel」とある行に移動し，再度Eキーを押します。
> すると，「grub edit>」というGRUBのプロンプトの後に，
> 「kernel /vmlinuz-2.6.21-1.3194.fc7 ro root=/dev/VolGroup 00 /LogVol 00
> rhgb quiet」などの文字が表示され，カーソルが行末にあるはずです。 
> 
> 　ここで，末尾に「 single」（または「 1」）と入力してEnterキー，次いでB
> キーを押すと，シングル・ユーザー・モードで起動します。「sh- 3 .2 #」とい
> うプロンプトが表示された時点で，シングル・ユーザー・モード上でシェルが起
> 動しています。 
> 　passwdコマンドを起動して，新しいパスワードを2回入力すれば，rootのパス
> ワードを忘れてしまったとしても再び利用できるようになります。 
> 


 
> ・BSD 系で一般的な wheel グループのメンバーのみ su を許可するという設定
> はデフォルトではないので、nobody を含むどのユーザでも su で root 権限取
> 得を試みることができる（総当たり攻撃ができる）。wheel グループを追加して
> /etc/pam.d/su 中のコメントや man pam_wheel に従って設定すれば制限可能
> （root も wheel グループに追加するのを忘れないように）。
> 
> が思いつきますが、他にもあるかも知れません。

申し訳ありません。こちらも英語で弱りました。個人ユーザーに於いては、一般
ユーザーを２つ作り、片方を制限ユーザー、もう片方を非制限ユーザーにして使
い分ければ良いと言う意味でしょうか？

※実は当方の知りたい事はこれだけなのです。

$ sudo passwd root
hogehogeのパスワード：
新しいパスワード：
確認のパスワード：

$ su -
上記パスワード入力

#　←プロンプトがrootに

この作業をして

・やりかたはこれでいいのか？＞＞＞荻野さん流に言えば、どうも良くは無さそ
うだ＞＞＞manの英語はちゃんと読めるだろうか・・・読めないですよね・・・
多分

。rootのロックは解除出来てるのか？＞＞＞これはどうも出来ているらしい

・推奨される行為じゃ無いようですね？・・・でも、何故？個人で使う分には
　一般ユーザーでなんでも出来てしまうのを避ける意味でも、rootが有った方が
いいような気がするんですよね・・・。

フォーラムに初心者って言う項目が有るのを見つけました。そこへ質問を投げて
見ます。折角の皆さんのアドバイスを理解するために、そちらで、初歩的な説明
をいただき、理解出来たら、こちらのサマリー投稿をしたいと存じます。

尚、個人的事情で申し訳ないですが、風邪をこじらせたようです。熱が有って、
現在臥床中です。治ったら、フォーラムへ行き、この投稿のレスがもし有れば
サマリーに反映させて頂きたいと存じます。


-- 
梅田　光則 <m.umeda ＠ kzc.biglobe.ne.jp>