[ubuntu-jp:3324] Re: root（スーパー）ユーザーについて

[Munehiro Yamamoto]

こんばんは、山本＠Project Vine です。

荻野さんが色々と解説なさっておられますので、
私はそもそも sudo ができるユーザについて、コメント致します。

2011年1月19日8:34  <m.umeda ＠ kzc.biglobe.ne.jp>:
> 。rootのロックは解除出来てるのか？＞＞＞これはどうも出来ているらしい
>
> ・推奨される行為じゃ無いようですね？・・・でも、何故？個人で使う分には
> 一般ユーザーでなんでも出来てしまうのを避ける意味でも、rootが有った方が
> いいような気がするんですよね・・・。

sudo が実行できる一般ユーザは、
"一般ユーザ" であり、なおかつ、"root 権限をもつユーザ" です。
だから、root をロック解除する必要は無いのです。

Ubuntu の場合、sudo が実行できる一般ユーザは、
admin グループに所属しています。
# Mac OS X では、staff グループが
# 管理者グループになっています。
つまり、通常のインストーラ時に作った一般ユーザは、
admin グループに所属しますので、その一般ユーザは、
sudo が実行できるのです。
それ以降に、useardd で一般ユーザを作成したとしても、
デフォルトでは admin グループに所属されません。

例えば、munepi という私のアカウントの場合は、

munepi ＠ ubuntu:~$ id
uid=1000(munepi) gid=1000(munepi)
所属グループ=1000(munepi),4(adm),20(dialout),24(cdrom),46(plugdev),111(lpadmin),119(admin),122(sambashare)

となっているので、sudo が実行できる一般ユーザです。
useradd コマンドで vine という一般ユーザを作成してみます。

munepi ＠ ubuntu:~$ sudo useradd vine
munepi ＠ ubuntu:~$ id vine
uid=1001(vine) gid=1001(vine) 所属グループ=1001(vine)

すると、vine という一般ユーザは、admin グループに属していないことが分かります。
試しに、vine という一般ユーザが sudo apt-get update とできるかやってみると、
みごとに弾かれます。

munepi ＠ ubuntu:~$ sudo su vine
$ whoami
vine
$ sudo apt-get update
[sudo] password for vine:
vine is not in the sudoers file.  This incident will be reported.

ちなみに、sudo の設定は、
$ sudo visudo から編集ができます。
実際に、/etc/sudoers に sudo の設定が書き込まれていますが、
直接適当なエディタでこのファイルを編集しないのは、
visudo は、パーミッションの保持や
構文のチェックなどを行ったり、
同時に複数の管理者による編集ができないような
保障の仕組みなどが備わっています。

長々と書きましたが、
Ubuntu の root をロックし sudo による管理者は、
そのディストリビューションのポリシー（方針）ですので、
それに素直に従うのがよろしいと思います。

-- 
山本 宗宏 Munehiro "munepi" Yamamoto <munepi ＠ vinelinux.org>
GPG Key ID: 0xC24B55FD
GPG Key Fingerprint: 61EC 85A8 5F34 5E35 91E8  8AD0 1D28 D5DE C24B 55FD