UNIXのセキュリティを向上させる、管理者権限の基本的な使用方法

文:Chad Perrin (Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子
2009-07-06 08:00:00
  • このエントリーをはてなブックマークに追加

 sudoコマンドの設計思想は、管理機能に容易にアクセスできるようにするということだけに留まらず、権限を持たない一般ユーザーに対して管理者権限を細かい粒度で提供するということにまで及んでいる。あなたのニーズが野心的なものである場合、システムに複雑さをもたらさないようsudoコマンドを正しく設定しておくということが、難しくなる可能性もある。多くのプログラムは、追加コマンドや外部コマンドを実行できるようになっているのだ。このようなプログラムが外部コマンドの実行に関する制限を一切有していない場合、ユーザーがsudoコマンドを介してそのプログラムをrootレベルのアクセス権限で実行すると、そういった外部コマンドもroot権限で実行されてしまうことになるのである。

 Razvan Stoica氏が「Sudo considered harmful」(sudoは危険だ)で解説しているように、特定システムのたいていの管理作業において「正しい」ことを行うセキュリティ意識の高いシステム管理者であったとしても、システム管理を簡単にしようとしてsudoコマンドの適用範囲を広げすぎ、セキュリティを損なうような複雑さを持ち込んでしまうという失態を犯すことがあるのだ。

最後に

 これは単なる出発点でしかない。セキュリティにおいて最も重要なことは、セキュリティ志向を持って積極的に思考することである。そして、管理者権限をセキュアに使用するための「基本」を知ることで、セキュアなシステム管理におけるその他さまざまな観点を深く理解するための素地を作ることができるはずだ。こういった観点(本記事では扱っていない)には、OpenSSHデーモンのPermitRootLogin設定オプションといったさまざまなツールの詳細や、ファイル権限におけるsuidビットの落とし穴といったシステム設計上の考慮点や、wheelグループの適切な管理に活かせるような、本記事で解説した内容のより深い理解といったものが含まれている。

 システム管理において、こういった話題が極めて重要であることは明らかだろう。しかし、エンドユーザーもこういった話題を理解しておくことが重要なのである。あなたがシステムのことをより深く理解していれば、システムのセキュリティ問題に巻き込まれる可能性は少なくなるのだ。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]