[バックナンバーのトップへ] [Linux システム管理のトップへ] いますぐ実践! Linux システム管理 / Vol.052 / 読者数:784名 こんばんは、うすだです。 会社で、日経SYSTEMS を半年だけ購読することになり、 もれなくもらえたおまけの冊子を、早速読みました。 日経SYSTEMS http://coin.nikkeibp.co.jp/coin/sys/ 「仕事力強化読本」と「システム構築完全読本」というやつです。 前者は、部下を育てる方法や、 顧客との交渉をうまく行うための方法などが書かれていました。 会議を効率よく行うには、なんてのもあります。 後者は、精度の高い見積りや要求定義の仕方、WWWアプリの最新技法、 運用強化の方法などが載っていました。 わたしの場合、ひとりで淡々とドライバを書いたりしていますので、 部下はひとりもいませんし、会議をすることもあまりありません。 (ちなみに、「かいぎ」を変換したら、「懐疑」と出ましたよ。) 見積りを書くこともありませんし、 ドライバだと仕様がすでに自明であることも多いですし、 社内向けのドキュメントを書くこともほぼないです。 読んでいて、世間とはかなりかけ離れたところにいるのだということが、 よくわかりました。 …というわけでややがっかりしてますが、気をとり直して、 今週も、はりきってまいりましょう! 今週のお題 - 管理者の権限を少しだけ与える システム管理を行う上で常に付きまとう問題としましては、ユーザの利便性と、 システムの堅牢性との、トレードオフではないかと思います。 事務的なこと以外でも Linux を使っていますと、 一般ユーザが root の権限を必要とすることが、少なからず出てくると思います。 しかし、管理者じゃないひとに、 root のパスワードを教えるわけにはいきませんよね。 かといって、必要なコマンドに setuid をつけて対処するのも、 なんだかセキュリティ上まずいように思われます。 しかし、そのたびに管理者が代行実行するのも、大変です。 んもー、ただでさえ忙しいのですから、なるべく楽をしたいところです。 というわけで、今週は、sudo なるコマンドを使って、root の権限を必要とするコトを、 一般ユーザが行えるようにしてみたいと思います。 別のユーザの権限でシェルやコマンドを実行すると言えば、su コマンドです。 root で作業するときに、よく使うのではないかと思います。 しかし、su コマンドで別のユーザになるには、 そのユーザのパスワードを知っている必要があります。 (root なら root のパスワードですね。) また、なれるユーザや実行できるコマンドなどを細かく設定することも、 su コマンドにはできません。 これらを可能とするコマンドが、sudo です。 sudo コマンドを使えば、root のパスワードを教えることなく、 root の権限を少しおすそわけすることができます。 まず、sudo コマンドの超簡単な使い方ですが、以下の通りです。 sudo [-u 実行ユーザ] コマンド... コマンド... には、実行したいコマンドとその引数を指定します。 通常は、root の権限でコマンドを実行しますが、-u オプションでユーザを指定すると、 そのユーザの権限でコマンドを実行します。 また、 sudo [-u 実行ユーザ] -s と実行すると、そのユーザのシェルを起動します。(su に似てますね。) さて、sudo コマンドは、まず設定を行わないと、使えません。 sudo の設定ファイルは、/etc/sudoers です。 /etc/sudoers の書式のうち、設定に関するものは、以下です。 ユーザリスト ホストリスト = (実行ユーザリスト) コマンドリスト ユーザリストには、sudo の対象とするユーザもしくはグループを指定します。 グループの場合は、先頭に % をつけます。 ホストリストには、実行を許可するホスト名を指定します。 おそらく、複数のマシンで、/etc/sudoers を共有する場合に便利なのだと思います。 (NIS を使ってるところとかですね。) 共有していなければ、通常は指定する必要はないと思います。(たぶん) 実行ユーザリストには、誰の権限で実行できるか、ユーザを指定します。 コマンドリストには、実行できるコマンドを指定します。 いずれも、, で区切って、複数指定することができます。 ALL を指定すると、すべておっけーになります。 また、先頭に ! をつけると、否定になります。 それから、/etc/sudoers は、 vi などのエディタで直接編集しないようにしてください。 visudo というコマンドを実行がありますので、 visudo を使って編集するようにしてください。 では、いくつか例を示してみたいと思います。 まず、wheel グループのひとが、root の権限でなんでも実行できるようにするには、 以下の設定を /etc/sudoers に追加します。 %wheel ALL=(root) ALL visudo で追加したら、早速試してみましょう。 wheel グループに所属するユーザの権限で、 /var/log/messages を tail コマンドで参照してみようと思います。 通常では、/var/log/messages は、root ユーザしか参照できませんので、 [実行] [戻る]   <--- 押してね   % tail /var/log/messages /var/log/messages: 許可がありません と言われてしまいます。ですが、sudo を使えば、参照できます。 [実行] [戻る]   <--- 押してね   % sudo tail /var/log/messages Password: (自分のパスワードを入力) ...中略... Apr 3 01:15:29 tamao sudo: usu : TTY=pts/1 ; PWD=/home/usu ; \ USER=root ; COMMAND=/usr/bin/tail /var/log/messages root ではなく、自分のパスワードを入力します。 もし、パスワードの入力を省きたいなら、 %wheel ALL=(root) NOPASSWD:ALL に変更してください。パスワードなしで実行できるようになります。 次は、bill と james が、すべてのユーザの権限で、 /bin/bash をのぞくすべてのコマンドを実行できるようにするには、以下を追加します。 bill,james ALL=(ALL) ALL,!/bin/bash visudo で上記を追加しますと、 % sudo kill -HUP 1 なんてことができますが、 [実行] [戻る]   <--- 押してね   % sudo -u usu /bin/bash Sorry, user bill is not allowed to execute '/bin/bash' as usu \ on tamao. bash は起動できません。 ただし、名前を変えてしまえば、起動できてしまいます。 [実行] [戻る]   <--- 押してね   % cp -p /bin/bash /home/bill/bash % sudo -u usu /home/bill/bash [usu@tamao]% ですので、コマンドリストに ! を使うのは、有効ではなさそうです。 以上、sudo コマンドについて、簡単にご紹介しました。 設定によっては、解放し過ぎることがあるかもしれませんが、 ぶっ壊れることはないと思いますので、いろいろ試してみてください。 そして、うまくいきそうでしたら、徐々にユーザに解放してみてはいかがでしょうか。 宿題の答え 先週の宿題は、 autofs を使って、CD-ROM を自動マウントできるようにしてみましょう でした。 ここでは、/misc/cd にアクセスしたときに、CD-ROM を自動マウントするように、 設定してみたいと思います。 まず、/etc/auto.master に、以下の1行を追加します。 (すでにあるなら、追加しなくてもいいです。) /misc /etc/auto.misc そして、/etc/auto.misc には、以下を記述(あるいは追加)します。 cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom デフォルトが NFS ですので、fstype に iso9660 を指定しています。 また、CD-ROM に書き込むことができませんので、ro を指定しています。 あとは好みですが、nosuid で setuid が無効にして、 nodev でデバイスファイルを無効(アクセス不可)にしています。 最後に、設定を再度読み込んでもらいます。 [実行] [戻る]   <--- 押してね   # /etc/init.d/autofs reload Checking for changes to /etc/auto.master .... とはいえ、今どきのディストリビューションですと、 supermount などで自動的にマウントされてしまったりするかもしれませんね…。 まあ、autofs の練習だと思って、やってみてくださいまし。 今週の宿題 今週の宿題は、 あなたが、root 以外のユーザの権限ではすべてのコマンドを実行でき、 root の権限では /bin/cat だけを実行できるように、/etc/sudoers に 設定を記述してください です。 実行ユーザが root の場合と root 以外の場合と、それぞれの設定を記述すれば、 できると思いますよ。 あとがき 毎週毎週、日曜日に発行したら、次の日くらいに、手で HTML に変換したものを、 バックナンバーへ無造作に放り込んでいます。 いますぐ実践! Linux システム管理 / バックナンバー http://www.usupi.org/sysad/backno.html 手動とはいえ、ほぼ機械的に変換していますので、 メールの文面と見た目がほぼ変わらず、われながらつまらんなーと思っておりました。 で、この度、というほどでもないのですが、コマンド実行例のところを、 そのまま表示しないで、さも実行しているような雰囲気を醸し出す努力をしてみました。 Vol.051 - autofs で使うときだけマウントする http://www.usupi.org/sysad/051.html 余力がなかったので、先週分だけしかやってません。すみません。 一見すると、いままでと全く変わっていないように見えます。 ですが、読み進んでいくと、 [実行] <--- 押してね # という箇所があることに、気づかれるのではないかと思います。 この [実行] のところを押すとですね、まるで、 たった今そのコマンドを実行しているかのように、表示が変化します。 まあまあ、ウソだと思って、押してみてください。 …ああ、限りなくウソに近いですが、ウソじゃない…ですよね? はい、JavaScript を使って、ちょっとずつ表示しているだけでした。 うーん、どうでしょうか。よいとか悪いとかつまらないとかやめろとか、 ご意見ご感想をいただけますと、幸いです。 当初は、Flash を使って、ほんものっぽく作ろうと思っていました。 でも、Flash で作るのが面倒だったのと、 あえて JavaScript で作るのも悪くないなーと思い、 このような半端ものに仕上げた次第です。 あ、ほんものっぽくするだけなら、 JavaScript と GIF アニメーションでもなんとかなりそうですね。 …と、たったいま思いつきましたが、 たぶん毎週 GIF アニメーションを作成するのは、無理だと思います。 そんなわけで、sudo ネタは、いかがでしたでしょうか。 /etc/sudoers には、他にもいろいろ設定できるようです。 そのあたりを、来週以降も続けてみようかと思っております。 今週も、ここまで読んでいただき、ありがとうございました。 それでは、また来週に、お会いしましょう! 「いますぐ実践! Linux システム管理」の解除は、以下からどうぞ。 http://www.usupi.org/sysad/ (まぐまぐ ID:149633) バックナンバーは、こちらにほぼ全部そろっています。 http://www.usupi.org/sysad/backno.html 「栗日記」−栗の絵を、毎日描いています。 http://www.usupi.org/kuri/ (まぐまぐ ID:126454) [バックナンバーのトップへ] [Linux システム管理のトップへ]

▼ トップ ▼ バックナンバー     [日付順] [目的別] ▼ プロフィール ▼ リンク 独学Linux Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。 Server World CentOS 5 をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューションや、Solaris10の例も充実しています。 LINUXで自宅サーバーを構築・導入(Fedora9) Fedora9のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。 マロンくん.NET 〜サーバ管理者への道〜 Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!! Ubun通 Linux(主にUbuntu)と自作PCに関する投稿型情報サイトです。 私の知らない最新のソフトなどが紹介されています。 日本の Linux 情報 日本の、Linux 総本山的なところです。 Linux Square − @IT @ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。 Open Tech Press Linux に限らず、オープンソース関連の記事が網羅されています。 ITmediaエンタープライズ:Linux Tips 一覧 Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。 IBM developerWorks : Linux 開発者向けですが、勉強になりますよ。 Yahoo!ニュース - Linux Yahoo!のLinuxに関するニュース一覧です。 システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。 システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-) ランキングに参加してみました。押してやってください。 ▼ 作ってみました ▼ せんでん ▼ 最近読んだ本 シッダールタ Hermann Hesse   何度も読んで理解したい本 新宿駅最後の小さなお店ベルク 井野朋也   食べてみたくって仕方がありません 第五の山 Paulo Coelho   不可避なことから学べるようになりたい 入門LDAP/OpenLDAP デージーネット   超具体的でわかりやすいです エイジレス革命 Deepak Chopra   固定観念にとらわれないで生きます 免疫革命 安保徹   免疫力を高めて自力で治すべし! 悪い笛-エハイク2 吉田戦車   エハイク第二弾。評が絶妙! ハリー・ポッターと死の秘宝 J.K.Rowling   とうとう最後に…全部読んでよかった ハリー・ポッターと謎のプリンス J.K.Rowling   ハリポ月刊なので読み直してます ハリー・ポッターと不死鳥の騎士団 J.K.Rowling   ハリポ月刊なので読み直してます ..... [X] 「賢者の書」 喜多川 泰 「セキュリティウォリア」 Cyrus Peikari, Anton Chuvakin 「CORE MEMORY」 John Alderman, Mark Richards 「新訳 星の王子さま」 サン=テグジュベリ / 倉橋 由美子 「センネン画報」 今日 マチ子 「粟津潔 デザインする言葉」 粟津潔 「Binary Hacks」 高林 哲,鵜飼 文敏,佐藤 祐介,浜地 慎一郎,首藤 一幸 「Make: Volume01」 オライリー・ジャパン 「セーラが町にやってきた」 清野 由実 「手紙屋」 喜多川 泰 「Linuxカーネル2.6解読室」 高橋 浩和,小田 逸郎,山幡 為佐久 「人蕩し術」 無能 唱元 「子育てハッピーアドバイス2」 明橋 大二, 太田 知子 「ラッセル幸福論」 B. Russell 「それでも人生にイエスと言う」 Viktor Emil Frankl 「子育てハッピーアドバイス」 明橋 大二, 太田 知子 「考具」 加藤 昌治 「北欧デザイン<3>」 渡部 千春 「北斎の謎を解く」 諏訪 春雄 「体感美術館」 平野 暁臣 「チベット永遠の書」 Theodore Illion 「リナックスの革命」 Pekka Himanen 「人月の神話」 Frederick Phillips,Jr. Brooks 「ヤバい経済学」 Steven D. Levitt, Stephen J. Dubner 「小布施ッション<2001-2002>」 セーラ・マリ カミングス 「アンパンマン伝説」 やなせ たかし 「夢をかなえるゾウ」 水野 敬也 「ゲーム開発者のためのAI入門」 David M. Bourg, Glenn Seemann 「北欧デザイン<2>」 渡部 千春 「北欧デザイン<1>」 渡部 千春 「ヒューマン2.0」 渡辺 千賀 「中国・ロシア同盟がアメリカを滅ぼす日」 北野 幸伯 「超ロング・セラー 絶滅寸前商品」 湯浅 豊彦 「The BUG(ザ・バグ)」 すずき ひろのぶ,かとう みつあき 「デザインのデザイン」 原 研哉 「マキアヴェッリ語録」 塩野 七生 「ハンバーガーを待つ3分間の値段」 斎藤 由多加 「星の旅人-スペイン「奥の細道」-」 黛 まどか 「食品の裏側」 安部 司 「On Lisp」 Paul Graham 「ぼくが医者をやめた理由 つづき」 永井 明 「あなたならどうする?」 Jack Nikolaschka 「セキュアプログラミング−失敗から学ぶ設計・実装・運用・管理」       Mark G. Graff, Kenneth R. van Wyk 「「左利き」は天才？−利き手をめぐる脳と進化の謎」       David Wolman 「自分の中に毒を持て」 岡本 太郎 「アトピーの薬を減らす本」 田中 貴子 「岡本太郎「明日の神話」修復960日間の記録」 吉村 絵美留 「X51.ORG THE ODYSSEY」 佐藤 健寿 「アレルギーっ子の暮らし応援BOOK」 佐藤 のり子 「沖縄文化論」 岡本 太郎 「「伝説の社員」になれ!」 土井 英司 「コンピュータの構成と設計(上)」 Patterson & Hennessy 「カラスのジョンソン」 明川 哲也 「ドリルを売るには穴を売れ」 佐藤 義典 「頭がよくなる照明術」 結城 未来 「クロフォードのインタラクティブデザイン論」 Chris Crawford 「いじめの根を絶ち子どもを守るガイド」 Barbara Coloroso 「非常識のすすめ―逆発想の仏教論」 ひろさちや 「Linuxアドバンストネットワーク構築ガイド - HAサーバ構築編」       デージーネット 「イノベーションの達人!」 Tom Kelly, Jonathan Littman 「クリエーター50人が語る創造の原点」 小原 啓渡 「欺術 - 史上最強のハッカーが明かす禁断の技法」 Kevin Mitnick 「楽しい気象観察図鑑」 武田 康男 「入門 Ajax」 高橋 登史朗 「リリカルな自画像」 岡本 太郎 「やぎの目ゴールデンベスト」 林 雄司 「初めてのPython 第2版」 Mark Lutz,David Ascher 「鼻兎」 小林 賢太郎 「なぜ、これがアートなの?」 Amelia Arenas 「芸術起業論」 村上 隆 「まほう色の瞳」 Enrique Barrios 「ラーメンズつくるひとデコ」 ラーメンズ 「R25 つきぬけた男たち」 R25編集部 「美の呪力」 岡本 太郎 「しろのあお」 上大岡 トメ 「ザ・ゴール」 Eliyahu M. Goldratt 「ハッカーと画家」 Paul Graham 「岡本太郎に乾杯」 岡本 敏子 「Fedore Core Expert」 Software Design 「誰も知らない男」 ブルース・バートン 「子どもが育つ魔法の言葉」 ドロシー・ロー・ノルト 「国家の罠」 佐藤 優 「夜回り先生」 水谷 修 「やぎの目絵日記」 林 雄司 「7つの習慣」 スティーブン・R. コヴィー 「まろ、ん?−大掴源氏物語」 小泉 吉宏 「ザ・サーチ グーグルが世界を変えた」 ジョン・バッテル 「ポストモダン・マーケティング」 スティーブン ブラウン 「機動戦士ガンダムさん」 大和田 秀樹 「小エロのひみつ - Webやぎの目研究発表」 林 雄司 「これ、誰がデザインしたの?」 渡部千春 「60分間・企業ダントツ化プロジェクト」 神田 昌典 「ガルシアへの手紙」 エルバート ハバード 「人生は素晴らしいものだ」 オグ・マンディーノ 「ザ・マインドマップ」 トニー・ブザン,バリー・ブザン 「ワインバーグのシステム思考法」 G.M.ワインバーグ 「渋谷ではたらく社長の告白」 藤田 晋 「渋井真帆の日経新聞読みこなし隊」 渋井 真帆 「コラム息切れ」 小野 法師丸 「早朝起業」 松山 真之介 「変な人が書いた驚くほどツイてる話」 斎藤 一人 「35歳から仕事で大切にしたいこと」 村井 勉 「金融広告を読め」 吉本 佳生 「発想する会社!」 トム・ケリー,ジョナサン・リットマン 「エハイク」 吉田 戦車 「人生の旋律」 神田 昌典 「仕事の思想」 田坂 広志 「CPUの創りかた」 渡波 郁 「非常識な成功法則」 神田 昌典 …これ以前は記録してません… ▼ 気に入ってる本 夢をかなえるゾウ 水野 敬也   いままでで最高の「笑える」成功本 Linuxデバイスドライバ Alessandro Rubini, Jonathan Corbet   ドライバ作らなくてもためになる Firefoxの改造テクニック! 大浦 淳   いま栗日記拡張を考えてます Apacheモジュール プログラミングガイド 小山 浩之   Apacheの中身もわかるよ 図解 実戦マーケティング戦略 佐藤 義典   栗日記も戦略的に行こう! やぎの目ゴールデンベスト 林 雄司   よめも爆笑してました アルケミスト パウロ・コエーリョ   ヘコみそうなとき読みます X51.ORG THE ODYSSEY 佐藤 健寿   X51.ORGの集大成 チベット永遠の書 Theodore Illion   いろんな意味ですごい!! 影響力の武器 ロバート・B・チャルディーニ   思わず納得します