AlmaLinux9.2でsuを制限するwheelユーザーの設定
さくらのVPSにAlmaLinux9.2をインストールした覚書です。
今回は、wheel ユーザーの設定を行っていきたいと思います。
wheel ユーザーの設定をすると、 su するときにパスワードが不要になります。
また、 su で root になれるユーザーを制限することもできます。
なお本番環境で利用される場合はここにある内容だけを鵜呑みにせずセキュリティ専門家に相談されることをお勧めします。
概要
wheelユーザーとかこのあたりについて質問があったので、図を作ってみました。
一般的な会社を想像しながら見てください。
登場人物は、社長、従業員、変装した偽物、守衛、取締役です。
1234と番号を振っているので順に辿ってください。
なお、正確さよりも分かりやすさを優先しています。
(原寸で開く)
wheelユーザーの設定とは、この図で言う4番です。
「取締役に社長室の鍵を預ける」を本ページでは行います。
環境
| 実施日 | 2023-09-07 |
| サーバ | さくらのVPS 2G
 |
| OS | AlmaLinux9.2 |
cat /etc/redhat-releaseAlmaLinux release 9.2 (Turquoise Kodkod)
wheelを有効にする
vi /etc/pam.d/suauth sufficient pam_wheel.so trust use_uid
auth required pam_wheel.so use_uidコメントされているので、先頭の # を消して有効化します。
事前確認
追加する前に、wheelじゃなければsuできないことを確認
su しようとすると
su: Permission denied
wheelユーザーの確認
設定されている wheel ユーザーを確認します。
cat /etc/group | grep wheelユーザーをwheelグループに追加
当サイトでは、一般ユーザーとして shinohara を例にしています。
usermod -G wheel shinohara実行したら、実際に su してみます。
root パスワードなしでrootになれます。
wheelユーザーを外す
設定されている wheel ユーザーを削除します。
# 現在所属しているグループを確認する
id -Gn shinohara
# 所属しているグループから wheel を外して登録しなおす
usermod -G shinohara shinohara
# usermod -G shinohara,example1,example2 shinoharausermod -G は、現在所属しているグループからすべて離脱して、そこで指定されたグループだけに所属するように設定されます。