[ubuntu-jp:3324] Re: root(スーパー)ユーザーについて
Munehiro Yamamoto
munepixyz @ gmail.com
2011年 1月 25日 (火) 09:04:13 UTC
こんばんは、山本@Project Vine です。
荻野さんが色々と解説なさっておられますので、
私はそもそも sudo ができるユーザについて、コメント致します。
2011年1月19日8:34 <m.umeda @ kzc.biglobe.ne.jp>:
> 。rootのロックは解除出来てるのか?>>>これはどうも出来ているらしい
>
> ・推奨される行為じゃ無いようですね?・・・でも、何故?個人で使う分には
> 一般ユーザーでなんでも出来てしまうのを避ける意味でも、rootが有った方が
> いいような気がするんですよね・・・。
sudo が実行できる一般ユーザは、
"一般ユーザ" であり、なおかつ、"root 権限をもつユーザ" です。
だから、root をロック解除する必要は無いのです。
Ubuntu の場合、sudo が実行できる一般ユーザは、
admin グループに所属しています。
# Mac OS X では、staff グループが
# 管理者グループになっています。
つまり、通常のインストーラ時に作った一般ユーザは、
admin グループに所属しますので、その一般ユーザは、
sudo が実行できるのです。
それ以降に、useardd で一般ユーザを作成したとしても、
デフォルトでは admin グループに所属されません。
例えば、munepi という私のアカウントの場合は、
munepi @ ubuntu:~$ id
uid=1000(munepi) gid=1000(munepi)
所属グループ=1000(munepi),4(adm),20(dialout),24(cdrom),46(plugdev),111(lpadmin),119(admin),122(sambashare)
となっているので、sudo が実行できる一般ユーザです。
useradd コマンドで vine という一般ユーザを作成してみます。
munepi @ ubuntu:~$ sudo useradd vine
munepi @ ubuntu:~$ id vine
uid=1001(vine) gid=1001(vine) 所属グループ=1001(vine)
すると、vine という一般ユーザは、admin グループに属していないことが分かります。
試しに、vine という一般ユーザが sudo apt-get update とできるかやってみると、
みごとに弾かれます。
munepi @ ubuntu:~$ sudo su vine
$ whoami
vine
$ sudo apt-get update
[sudo] password for vine:
vine is not in the sudoers file. This incident will be reported.
ちなみに、sudo の設定は、
$ sudo visudo から編集ができます。
実際に、/etc/sudoers に sudo の設定が書き込まれていますが、
直接適当なエディタでこのファイルを編集しないのは、
visudo は、パーミッションの保持や
構文のチェックなどを行ったり、
同時に複数の管理者による編集ができないような
保障の仕組みなどが備わっています。
長々と書きましたが、
Ubuntu の root をロックし sudo による管理者は、
そのディストリビューションのポリシー(方針)ですので、
それに素直に従うのがよろしいと思います。
--
山本 宗宏 Munehiro "munepi" Yamamoto <munepi @ vinelinux.org>
GPG Key ID: 0xC24B55FD
GPG Key Fingerprint: 61EC 85A8 5F34 5E35 91E8 8AD0 1D28 D5DE C24B 55FD
ubuntu-jp メーリングリストの案内