「Sudo」の版間の差分
Kusanaginoturugi (トーク | 投稿記録) (→インストール: 記事を更新) |
Kusanaginoturugi (トーク | 投稿記録) (→使用方法: 記事を追加) |
||
38行目: | 38行目: | ||
詳しくは {{man|8|sudo}} を見てください。 |
詳しくは {{man|8|sudo}} を見てください。 |
||
+ | |||
+ | === Login shell === |
||
+ | |||
+ | You cannot run every command as an other user simply by prepending ''sudo''. In particular when using a [[Wikipedia:Redirection_(computing)|redirection]] and [[Wikipedia:Command substitution|command substitution]], you must use a login shell, which can be easily accessed with {{ic|sudo -iu ''user''}} (one can omit {{ic|-u ''user''}} if the desired user is root). |
||
+ | |||
+ | In the following example command substitution would work in a full shell, but fails with prepending ''sudo'': |
||
+ | |||
+ | {{hc|$ sudo wpa_supplicant -B -i ''interface'' -c '''<('''wpa_passphrase ''MYSSID passphrase''''')'''| |
||
+ | Successfully initialized wpa_supplicant |
||
+ | Failed to open config file '/dev/fd/63', error: No such file or directory |
||
+ | Failed to read or parse configuration '/dev/fd/63' |
||
+ | }} |
||
== 設定 == |
== 設定 == |
2024年7月31日 (水) 21:16時点における版
sudo を使うことでシステム管理者は権限を委託できるようになり、root や他のユーザーとして複数の(もしくは全ての)コマンドを実行する能力を特定のユーザー(もしくはユーザーのグループ)に与えることができます。
Sudo は root でコマンドを実行するためのものとして su に代わるものです。su が root シェルを起動してそれから全てのコマンドを root として実行できるようにするのに対し、sudo は一つのコマンドだけに特権を与えます。必要な時だけに root 特権を有効にするので、sudo を使うことにより打ち間違いや呼び出されたコマンドのバグによってシステムを破壊してしまう可能性を減らすことができます。
Sudo は他のユーザーとしてコマンドを実行するために使うこともできます; さらに、sudo は全てのコマンドとセキュリティ検査のアクセス失敗を記録します。
目次
- 1 インストール
- 2 使用方法
- 3 設定
- 4 ヒントとテクニック
- 5 トラブルシューティング
インストール
公式リポジトリから sudo パッケージをインストールしてください:
使用方法
ユーザーはコマンドの前に sudo
を付けることで、スーパーユーザー(もしくはその他の)特権がある状態でコマンドを実行できます。
sudo を使うときはコマンドの前に sudo
と空白を付けてください:
$ sudo cmd
例えば、pacman を root で使いたいなら:
$ sudo pacman -Syu
詳しくは sudo(8) を見てください。
Login shell
You cannot run every command as an other user simply by prepending sudo. In particular when using a redirection and command substitution, you must use a login shell, which can be easily accessed with sudo -iu user
(one can omit -u user
if the desired user is root).
In the following example command substitution would work in a full shell, but fails with prepending sudo:
$ sudo wpa_supplicant -B -i interface -c <(wpa_passphrase MYSSID passphrase)
Successfully initialized wpa_supplicant Failed to open config file '/dev/fd/63', error: No such file or directory Failed to read or parse configuration '/dev/fd/63'
設定
デフォルトのスケルトンファイル
sudoers(5) § SUDOERS OPTIONS は /etc/sudoers
ファイル内の Defaults
コマンドで使用できる全てのオプションをリストアップします。
オプションのリスト (バージョン 1.8.7 のソースコードから解析されたもの) を sudoers
用に最適化した形式で表示するには [1] を参照してください。
パスワードのタイムアウトの設定など、より詳しい情報は sudoers(5) を見て下さい。
現在の設定を表示
sudo -ll
を実行して現在の sudo 設定を表示してください。sudo -lU user
で指定したユーザーの sudo 設定も確認できます。
visudo を使う
sudo の設定ファイルは /etc/sudoers
です。このファイルはどんなときでも visudo
コマンドを使って編集するべきです。visudo
は sudoers
ファイルをロックし、一時ファイルに編集内容を保存して、それを /etc/sudoers
にコピーする前にファイルの構文をチェックします。
visudo のデフォルトエディタは vi
です。core リポジトリの sudo はデフォルトで --with-env-editor
を有効にしてコンパイルされており、VISUAL
や EDITOR
変数を使用することができます。VISUAL
が設定されている場合 EDITOR
は使われません。
現在のシェルセッションの間だけ visudo のエディタとして nano を使いたい場合、visudo を実行する前に EDITOR
変数を設定してください:
# EDITOR=nano visudo
もしくは /etc/sudoers
ファイルのコピーを編集して visudo -c -f /copy/of/sudoers
でチェックすることもできます。visudo でファイルをロックしたくない場合に有用です。
visudo
でだけ同じエディタを選び続けたいのなら、以下を /etc/sudoers
に追加してください (nano
はお好きなエディタに変えてください):
# Reset environment by default Defaults env_reset # Set default EDITOR to nano, and do not allow visudo to use EDITOR/VISUAL. Defaults editor=/usr/bin/nano, !env_editor
エントリの例
ユーザー USER_NAME が sudo
を使った時に、完全な root 権限を与えたい場合は、次の行を加えて下さい:
USER_NAME ALL=(ALL) ALL
マシンのホストネームが HOST_NAME のときだけ、ユーザー USER_NAME に他のユーザーとしてコマンドを実行する権限を与えるには:
USER_NAME HOST_NAME=(ALL) ALL
wheel
グループに追加されている全てのユーザーが sudo を使えるようにするには:
%wheel ALL=(ALL) ALL
ユーザー USER_NAME にパスワードを尋ねるのを無効化するには:
Defaults:USER_NAME !authenticate
ユーザー USER_NAME が ホスト HOST_NAME を使っているときだけ特定のコマンドに sudo を使えるようにするには:
USER_NAME HOST_NAME=/usr/bin/halt,/usr/bin/poweroff,/usr/bin/reboot,/usr/bin/pacman -Syu
ユーザー USER_NAME が ホスト HOST_NAME を使っているときだけ特定のコマンドに sudo をパスワードなしで使えるようにするには:
USER_NAME HOST_NAME= NOPASSWD: /usr/bin/halt,/usr/bin/poweroff,/usr/bin/reboot,/usr/bin/pacman -Syu
説明のついた sudoers のサンプルは /usr/share/doc/sudo/examples/sudoers
にあります。詳しくは sudoers(5) を見て下さい。
Sudoers デフォルトファイルパーミッション
sudoers ファイルの所有者とグループはゼロにしてください、つまり所有者が居てはいけません。ファイルパーミッションは 0440 に設定する必要があります。このパーミッションはデフォルトでセットされますが、パーミッションを変える事故を起こしてしまった場合、すぐにパーミッションを元に戻すか sudo を消して下さい。
# chown -c root:root /etc/sudoers # chmod -c 0440 /etc/sudoers
ヒントとテクニック
パスワードプロンプトのタイムアウトを無効にする
よくある悩みは、通常のパーミッションで実行され、必要な時にのみ上昇するバックグラウンドターミナルで実行される長時間実行プロセスです。これにより sudo のパスワード入力が促され、気づかれずにタイムアウトし、その時点でプロセスが終了し、完了した作業は失われるか、せいぜいキャッシュされます。一般的なアドバイスは、パスワードなしの sudo を有効にするか、パスワードを記憶する sudo のタイムアウトを延長することです。これらはいずれもセキュリティに悪影響を及ぼします。 プロンプト タイムアウトを無効にすることもできますが、これは適切なセキュリティ上の目的を果たすものではありません、そこを理解して設定する必要があります。
Defaults passwd_timeout=0
パスワードプロンプトに端末ベルを鳴らす
バックグラウンドの端末で sudo プロンプトに注意を引く為に、bell character を鳴らす方法もあります。
Defaults passprompt="^G[sudo] password for %p: "
^G
は文字通りベル文字です。 例えば。 vim で、シーケンスを使用して挿入 Ctrl+v
Ctrl+g
または Nano alt+v
Ctrl+g
エイリアスを渡す
使っているエイリアスが多すぎて、sudo を使っている時にそれらを root アカウントに持ち越せないことに気づいたかもしれません。しかしながら、エイリアスを全て動作させる簡単な方法があります。以下を ~/.bashrc
か /etc/bash.bashrc
に追加するだけです:
alias sudo='sudo '
ターミナルごとの sudo を無効化
sudo のデフォルト設定では、新しいターミナルを開くたびにパスワードを入力する必要がありますが、これを鬱陶しく感じるなら tty_tickets を無効化して下さい:
Defaults !tty_tickets
パスワードの入力回数を減らす
5分ごとにパスワードを再入力するのが面倒な場合 (デフォルト)、 timestamp_timeout
に長い値を設定することで変更することができます。(単位:分)。
Defaults timestamp_timeout=10
sudo コマンドを連続してたくさん使う場合は、sudo を使うたびにタイムアウトを更新する方が、より論理的です。
時間をを増やすと、timestamp_timeout
になります。タイムアウトのリフレッシュは sudo -v
で行うことができます。(一方 sudo -K
はすぐに取り消します)
以下を .bashrc
に追加して、これを自動化するとよいでしょう。
alias sudo='sudo -v; sudo '.
bash の関数を使うことも可能です。詳しくは stackexchange を参照してください。
環境変数
環境変数をたくさん使っている場合や、export http_proxy="..."
でプロクシー設定を export している場合、sudo を使うときに、sudo に -E
オプションを付けない限りこれらの環境変数が root アカウントに渡されません。
$ sudo -E pacman -Syu
環境変数を維持するために env_keep
にそれら環境変数を追加するのを推奨します:
/etc/sudoers
Defaults env_keep += "ftp_proxy http_proxy https_proxy no_proxy"
root パスワード
/etc/sudoers
の Defaults 行に "rootpw" を加えると sudo はユーザーのパスワードではなく root パスワードを尋ねるようになります:
Defaults timestamp_timeout=0,rootpw
root ログインを無効化
sudo をインストール・設定したら、root ログインを無効化できます。root を無効化すれば、攻撃者はユーザーのパスワードだけでなく sudoer として設定されたユーザー名もまず考えなくてはならなくなります。Secure Shell#root ログインを制限するも参照。
アカウントをロックするには passwd
を使います:
# passwd -l root
同じようなコマンドで root をアンロックできます。
$ sudo passwd -u root
もしくは、/etc/shadow
を編集して root の暗号化されたパスワードを "!" で置き換えてください:
root:!:12345::::::
もう一度 root ログインを有効にするには:
$ sudo passwd root
kdesu
KDE では root 権限で GUI アプリケーションを起動するのに kdesu が使われることがあります。root アカウントが無効になっているときでもデフォルトで kdesu は su を使おうとします。幸いに、kdesu では su の代わりに sudo を使うようにすることができます。~/.config/kdesurc
(kde4 の場合は ~/.kde4/share/config/kdesurc
) ファイルを作成・編集してください:
[super-user-command] super-user-command=sudo
もしくは以下のコマンドを使用 (kde4 の場合は kwriteconfig を使用):
$ kwriteconfig5 --file kdesurc --group super-user-command --key super-user-command sudo
あるいは kdesudoAUR をインストールしてください。コマンドのタブ補完もあります。
sudoでハード化する例
例えば、admin, devel, joe の3人のユーザーを作ったとします。admin は journalctl, systemctl, mount, kill, iptables に、devel はパッケージのインストールや設定ファイルの編集に、そして joe はログインするユーザにそれぞれ使用します。joe" にリブート、シャットダウン、netctl を使わせるためには、以下のようにします。
/etc/pam.d/su
と /etc/pam.d/su-l
を編集してください。
ユーザが wheel グループに属していることを要求するが、誰もその中に入れないようにする。
#%PAM-1.0 auth sufficient pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. #auth sufficient pam_wheel.so trust use_uid # Uncomment the following line to require a user to be in the "wheel" group. auth required pam_wheel.so use_uid auth required pam_unix.so account required pam_unix.so session required pam_unix.so
SSH ログインを 'ssh' グループに制限します。joe だけがこのグループの一員になります。
groupadd -r ssh gpasswd -a joe ssh echo 'AllowGroups ssh' >> /etc/ssh/sshd_config
リスタート sshd.service
.
ユーザーを他のグループに追加する。
for g in power network ;do ;gpasswd -a joe $g ;done for g in network power storage ;do ;gpasswd -a admin $g ;done
デベロッパーが編集できるように、コンフィグにパーミッションを設定します。
chown -R devel:root /etc/{http,openvpn,cups,zsh,vim,screenrc}
Cmnd_Alias POWER = /usr/bin/shutdown -h now, /usr/bin/halt, /usr/bin/poweroff, /usr/bin/reboot Cmnd_Alias STORAGE = /usr/bin/mount -o nosuid\,nodev\,noexec, /usr/bin/umount Cmnd_Alias SYSTEMD = /usr/bin/journalctl, /usr/bin/systemctl Cmnd_Alias KILL = /usr/bin/kill, /usr/bin/killall Cmnd_Alias PKGMAN = /usr/bin/pacman Cmnd_Alias NETWORK = /usr/bin/netctl Cmnd_Alias FIREWALL = /usr/bin/iptables, /usr/bin/ip6tables Cmnd_Alias SHELL = /usr/bin/zsh, /usr/bin/bash %power ALL = (root) NOPASSWD: POWER %network ALL = (root) NETWORK %storage ALL = (root) STORAGE root ALL = (ALL) ALL admin ALL = (root) SYSTEMD, KILL, FIREWALL devel ALL = (root) PKGMAN joe ALL = (devel) SHELL, (admin) SHELL
この設定により、root ユーザーでのログインはほとんど必要なくなります。
joe は自宅の WiFi に接続できます。
sudo netctl start home sudo poweroff
joe は、他のユーザーとして netctl を使用できません。
sudo -u admin -- netctl start home
joe が journalctl を使ったり、逃亡したプロセスを kill したりする必要があるとき、そのユーザーに切り替えることができます。
sudo -i -u devel sudo -i -u admin
しかし、joe は root ユーザーに切り替えることはできません。
sudo -i -u root
joe が管理者として gnu-screen のセッションを開始したい場合は、次のようにします。
sudo -i -u admin admin% chown admin:tty `echo $TTY` admin% screen
/etc/sudoers.d のドロップインファイルを使って sudo を設定
sudo は /etc/sudoers.d/
ディレクトリ内のファイルを読み込みます。/etc/sudoers
を編集するかわりに、/etc/sudoers.d/
ディレクトリのファイルで設定を変更することができます。これには2つのメリットがあります:
sudoers.pacnew
ファイルを編集する必要がありません。- 新しいエントリに問題があった場合、
/etc/sudoers
を編集するのではなく問題のあるファイルを削除するだけですみます。
ドロップインファイルのエントリの形式は /etc/sudoers
自体と同じです。直接編集するときは、visudo -f /etc/sudoers.d/somefile
を使ってください。詳しくは sudoers(5) の "Including other files from within sudoers" セクションを参照。
/etc/sudoers.d/
ディレクトリのファイルは辞書順に読み込まれます。ファイル名に .
または ~
が含まれているとスキップされます。ソート順で問題が起こらないように、ファイル名には2桁の数字を付けてください。例: 01_foo
。
ファイルの編集
sudo -e
または sudoedit
を使うことで、ファイルを他のユーザーとして編集することができます。テキストエディタを動かすユーザーは変わりません。
テキストエディタの権限を昇格させることなく root でファイルを編集することが可能です。詳しくは sudo(8) § e を読んでください。
エディタは他のプログラムに設定できます。例えば meld を使って pacnew ファイルを管理する場合:
$ SUDO_EDITOR=meld sudo -e /etc/file{,.pacnew}
侮辱を有効にする
visudo を使用して sudoers ファイルに次の行を追加することにより、sudo でイースターエッグ (侮辱) することができます。
不正なパスワードを入力すると、Sorry, try again.
のメッセージがユーモラスな侮辱に置き換えられます。
/etc/sudoers
Defaults insults
パスワード入力のフィードバックを有効にする
デフォルトでは、パスワードを入力する際に視覚的なフィードバックはありません。これは、セキュリティを高めるために意図的に行われています。しかし、視覚的な入力が必要な場合は、この行を追加することで有効にすることができます:
/etc/sudoers
Defaults pwfeedback
カラーパスワードプロンプト
パスワードプロンプトをカラーや太字フォントでカスタマイズするには、シェル初期化ファイルに SUDO_PROMPT
環境変数 を設定し、tput(1) を使用します。
例えば、パスワードプロンプトを太字の赤で表示するには、以下のように設定します:
export SUDO_PROMPT="$(tput setaf 1 bold)Password:$(tput sgr0) "
また、デフォルトメッセージに異なる色を使用するには、以下のようにします:
export SUDO_PROMPT="$(tput setab 1 setaf 7 bold)[sudo]$(tput sgr0) $(tput setaf 6)password for$(tput sgr0) $(tput setaf 5)%p$(tput sgr0): "
|
|
U2F の使用
U2F は sudo と一緒に使用するのに最適です。これは、公共の場所でのショルダーハックのリスクを効果的に排除しながら、シンプルな物理的なタッチでプロンプトを承認する意識的なコントロールを与えてくれます。
Universal 2nd Factor#パスワードなしの sudo を参照してください。
トラブルシューティング
SSH TTY 問題
リモートコマンドを実行するとき SSH はデフォルトでは tty を割り当てません。tty がないと、パスワードを要求するときに sudo は echo を無効化することができません。ssh の -tt
オプションを使うことで強制的に tty を割り当てることができます (-tt
を2回使ってください)。
Defaults
オプションの requiretty
は tty が存在するときだけ sudo を実行することを許可します。
# Disable "ssh hostname sudo <cmd>", because it will show the password in clear text. You have to run "ssh -t hostname sudo <cmd>". # #Defaults requiretty
Permissive Umask
Sudo はユーザーの umask の値を sudo の umask (デフォルトは 0022) と結合します。これによってユーザーの umask が許可している以上のパーミッションでファイルを作成できないようにしています。umask をカスタマイズしていない場合はデフォルトで問題ありませんが、sudo によって実行されたユーティリティが作成したファイルのパーミッションが root で直接実行した場合と異なってしまう可能性があります。エラーが発生する場合、たとえユーザーが指定した umask よりもパーミッションを甘くしたいときでも、sudo には umask を修正する手段があります。以下を追加 (visudo
を使用) することで sudo のデフォルトの挙動が上書きされます:
Defaults umask = 0022 Defaults umask_override
sudo の umask が root のデフォルト umask (0022) に設定されデフォルトの挙動が上書きされます。ユーザーによって設定された umask を無視して指定された umask を常時使うようになります。