読者です 読者をやめる 読者になる 読者になる

パソ子をぺちぺちと

インフラ周りを勉強中の大学生の備忘録です。この子は従兄の猫ちゃん(♂)です。可愛いです。僕も柴犬飼いたいです。でも両親が許してくれません。

CentOSをぺちぺちと(ユーザ作成編)

今回はroot権限を持ったユーザを作っていきます(=゚ω゚)ノ

root権限を持つと何でも出来てしまうので、パスワードでしっかり管理されたユーザにのみroot権限が与えられるようにします。

今回使うのは、CentOS6.7 64bitです。 以降もこちらを使っていきます。

[taihei@pasoko ~]$ cat /etc/issue
CentOS release 6.7 (Final)
Kernel \r on an \m

[taihei@pasoko ~]$ uname -a
Linux pasoko 2.6.32-573.22.1.el6.x86_64 #1 SMP Wed Mar 23 03:35:39 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

概要

おおまかな手順としましては、

  1. 権限を与えたいユーザを作る

  2. wheelグループに所属するユーザにしかsudo権限を得られないようにする

  3. sudoのログを保存するように設定

  4. ログローテーション設定

ユーザ追加

まずは、権限を与えるtaiheiユーザの追加し、そのパスワード設定します。

[root@pasoko ~]# adduser taihei
[root@pasoko ~]# passwd taihei
ユーザー taihei のパスワードを変更。
新しいパスワード:
新しいパスワードを再入力してください:
passwd: 全ての認証トークンが正しく更新できました

これで、ユーザ自体は作成出来ました。

wheelグループでsudo制限

# taiheiユーザをwheelグループへ
[root@pasoko ~]# usermod -aG wheel taihei

# 設定ファイルを弄りますが念のためバックアップを、ね。(;´・ω・)
[root@pasoko ~]# cp /etc/pam.d/su /etc/pam.d/su.org

# 必要な個所をアンコメントしていきます。
[root@pasoko ~]# vi +6 /etc/pam.d/su
-#auth           required        pam_wheel.so use_uid
+ auth           required        pam_wheel.so use_uid

[root@pasoko ~]# visudo
## Allows people in group wheel to run all commands
-# %wheel        ALL=(ALL)       ALL
+  %wheel        ALL=(ALL)       ALL

これで、taiheiユーザにroot権限が与えられました。

次は、sudoで何をしたかのログを保存するように設定していきます('ω')ノ

sudoログ保存

[root@pasoko ~]# echo "" >> /etc/rsyslog.conf
[root@pasoko ~]# echo "# syslog facility" >> /etc/rsyslog.conf
[root@pasoko ~]# echo "Defaults syslog=local3" >> /etc/rsyslog.conf

# 今度は、設定ファイルに追加していきます。
[root@pasoko ~]# vi +62 /etc/rsyslog.conf

    :
    :
# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
+# sudo log
+local3.*                                               /var/log/sudo
    :
    :


[root@pasoko ~]# touch /var/log/sudo
[root@pasoko ~]# chmod 600 /var/log/sudo

# 再起動して設定を反映させます。
[root@pasoko ~]# service rsyslog restart
システムロガーを停止中:                                    [  OK  ]
システムロガーを起動中:                                    [  OK  ]

ログローテーション設定

# 先程と同じく、追加を
[root@pasoko ~]# vi +6 /etc/logrotate.d/syslog

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
+/var/log/sudo
    :
    :

これで設定はおっけーです。

本当に大丈夫か試してみます。

Poderosaから、こうして入るっと...

f:id:taichanosm:20160515013208p:plain

ほいで、ここから

[taihei@pasoko ~]$ sudo su -

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for taihei:
[root@pasoko ~]#

やったーできたー('ω')

...と喜べたのも束の間、 vagrantユーザからは

[taihei@pasoko ~]$ su - vagrant                                                              
パスワード:
[vagrant@pasoko ~]$ sudo su -                                                                
[root@pasoko ~]#

あれーっ!?

vagrantユーザってパスもvagrantだよなぁ

簡単にsudoになれちゃうじゃん...(´・ω・`)

また課題が増えました。調べなきゃか...

とりあえず、今回はここまで

ちょっとへらへらした成分が前回と比べて少な目だったかな...?

ま、いいじゃないですか(笑)

ありがとうございました(^^)/バイバーイ