share facebook facebook twitter menu hatena pocket slack

2011.10.11 TUE

PAM認証を利用してrootにスイッチ

セキュリティ強化のため、特定の一般ユーザのみrootにスイッチできる設定をしたい場合があります。
このような場合はPAM認証で設定することが可能となります。

例として、test1、test2ユーザが下記のように存在しているとします。

[root@cimacoppi ~]# id test1
uid=2001(test1) gid=2001(hoge) 所属グループ=2001(hoge),10(wheel)

[root@cimacoppi ~]# id test2
uid=2002(test2) gid=2001(hoge) 所属グループ=2001(hoge)

test1ユーザはwheelグループに属しています。

設定は /etc/pam.d/su で行います。

vi /etc/pam.d/su

【変更前】

# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid

【変更後】

# Uncomment the following line to implicitly trust users in the "wheel" group.
auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid

上記により、whellグループに属しているユーザのみrootにパスワードなしでログインできます。

実際にテストしてみます。

[root@cimacoppi pam.d]# su - test1
-bash-3.2$ su -
[root@cimacoppi ~]# who
root pts/0

[root@cimacoppi pam.d]# su - test2
-bash-3.2$ su -
パスワード:
su: パスワードが違います

test1ではrootにスイッチできていることがわかります。

こちらの記事はなかの人(be_hase)監修のもと掲載しています。
元記事は、こちら

長谷部 隆之

長谷部 隆之

別名cimacoppi。日々サーバ運用保守を行ってます!

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。