root権限の管理

Linuxの基本的なスキルを習得したら、Linuxサーバーをシステムとして長期に運用管理していくためのスキルを身につけるのはいかがでしょうか。このコラムでは、「Linuxシステム管理標準教科書」の全体調整を担当した筆者が改めて大切なポイントを解説していきます。

root権限の管理は、システム管理に必ず必要になりますが、システムに対してなんでもできるため、セキュリティの観点ではきちんと保護しなければなりません。root権限の扱い方について確認しておきましょう。【連載コラム：Linuxシステム管理標準教科書を読む（３）】

スーパーユーザーroot

rootはLinuxではスーパーユーザーとも呼ばれます。システムに対するすべてのアクセス権限があるため、どのようなファイルにもアクセスできます。ポート番号1023までの「Well Known Port」を使うのにもroot権限が必要なので、Webサーバー（ポート番号80/443）などWell Known Portを使用するサーバーの起動もroot権限がなければ行えません。

セキュリティ攻撃とSELinux

root権限があれば何でもできますから、サーバーに対する攻撃もroot権限を奪取することを目標とします。セキュリティを考慮すると、root権限の行使は限定的にしなければなりません。

また、LinuxではSELinuxを使うとroot権限に対しても制約を与えることができるので、セキュリティを高めるには有効な手段となります。

ログイン方法とroot権限の取得

サーバーに対する管理の操作を行うにはログインする必要があります。また、なんらかの方法でroot権限を取得しなければなりません。

rootで直接ログインする

セキュリティをあまり考慮しない環境であれば、rootで直接ログインする方法が最も単純な方法です。ローカルコンソールが使えるのであればパスワードを入力することになりますが、rootユーザーにパスワードを設定するのは攻撃の糸口になる可能性があるので、あまり良い方法とは考えられていません。

リモートログインであればパスワード認証ではなく、SSHの公開鍵認証を使うのがよいでしょう。rootで直接ログインさせるべきかどうかは議論の余地がありますが、もし許可するのであれはSSHサーバーのPermitRootLoginの設定を有効にする必要があります。

suコマンドを使う

suコマンドを使うと、一般ユーザーから切り替えられることになります。特別設定をしなければ、rootユーザーのパスワードを入力する必要がありますが、前述の通りrootにパスワードを設定したくない場合にはPAMを設定してパスワード認証無しでsuコマンドを実行できるようにする必要があるでしょう。

sudoコマンドを使う

sudoコマンドは、コマンド実行毎にroot権限を与える方式で、現在ではこの方法が主に使われるようになっています。実行の制限には/etc/sudoersの設定が必要となるので、様々なパターンでの制限についてしっかりと理解しておく必要があるでしょう。

root権限について適切に取り扱う

セキュリティを強化すると作業が行いにくくなるため、LAN内部のサーバーであれば直接攻撃を受けないだろうということでセキュリティ意識が低くなりがちです。しかし現在ではLAN内部に対する侵入と攻撃も起きるようになっているため、内部だから大丈夫という考え方は通用しません。

どのようなネットワークに接続するサーバーでも、きちんとセキュリティを考慮し、root権限の扱い方についても適切に行えるようにしましょう。

Linuxシステム管理標準教科書とは

「Linuxシステム管理標準教科書」（システム管理教科書）は2015年4月にリリースされた標準教科書シリーズの1冊です。

Linuxシステムの運用管理という観点で書かれており、システム管理者という業務において知っておかなければならない基本的なトピックが解説されています。「Linux標準教科書」「Linuxサーバー構築標準教科書」でコマンド操作やサーバー構築の基本を学んだら、このシステム管理教科書を読んで、単にLinuxを使うのではなく、システムとして長期的に管理運用していくためのスキルを身につけてください。

バックナンバー

第２回：SSH
第１回：ユーザーとグループの管理