110.1 セキュリティ管理業務の実施

今回は、LinuC 102試験の試験範囲から「110.1 セキュリティ管理業務の実施」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜110.1 セキュリティ管理業務の実施＞
重要度 3

＜説明＞
システム構成を調べて、ホストのセキュリティをローカルセキュリティポリシーに従わせる方法を知っている。

＜主要な知識範囲＞
・システムを監査して、SUID/SGIDビットが設定されているファイルを探す
・ユーザのパスワードおよびパスワードエージング情報を設定または変更する
・nmapおよびnetstatを使用して、システムの開いているポートを見つける
・ユーザのログイン、プロセス、メモリー使用量を制限する
・基本的なsudoの設定および利用方法

＜重要なファイル、用語、ユーティリティ＞
・find
・passwd
・fuser
・lsof
・nmap
・chage
・netstat
・sudo
・/etc/sudoers
・su
・usermod
・ulimit
・who, w, last

■例題
グループ「lpi」に所属しているユーザは、実行時にパスワードなしでshutdownコマンドが利用できるようにする、という許可をするために、/etc/sudoersに設定すべき内容を選択してください。

1. NOPASSWD:lpi ALL=(ALL) /sbin/shutdown
2. lpi ALL=(ALL) /sbin/shutdown ALL
3. %lpi ALL=(ALL) NOPASSWD:/sbin/shutdown
4. NOPASSWD:/sbin/shutdown ALL=(ALL) %lpi

※この例題は実際の試験問題とは異なります。

sudoコマンドを利用することで、rootユーザの権限が必要なコマンドを、任意のユーザが使うことができます。
sudoコマンドの利用設定をするために、「visudo」コマンドを実行することで、/etc/sudoersファイルが編集できます。
visudoコマンドを使用するにはroot権限が必要です。
/etc/sudoersファイルの書式は以下です。

ユーザ名 ホスト名=(実行ユーザ名) [NOPASSWD:]コマンド

ユーザ名には、コマンドの実行を許可するユーザ名・グループ名を記載します。
グループは、頭に「%」をつけることで指定が可能です。
もしくはALLの記載ができ、その場合はすべてのユーザに対する設定となります。

ホスト名は、実行を許可するホスト名かIPアドレス、もしくはALLを記載します。
実行ユーザ名は、コマンド実行時のユーザ名、もしくはALLを記載します。
実行ユーザ名を省略した場合はデフォルトでrootが設定されます。

最後に、許可したいコマンドを記載します。
これもALLを記載することができ、その場合はすべてのコマンド実行を許可する設定となります。
sudoコマンド実行時には、コマンドを実行したユーザのパスワードを求められますが、コマンドの前に「NOPASSWD」をつけることで、パスワードなしでコマンドの実行をすることができます。

sudoを利用するには、sudoコマンドの引数として、実行したいコマンドを指定します。
例えば今回の問題の設定ですと、lpiグループに所属するユーザで

sudo /sbin/shutdown -h now

と実行することで、lpiグループ所属ユーザはshutdownコマンドを利用することができます。
sudoコマンドを実行した時に、設定にNOPASSWDの記載があればそのまま、記載がなければ実行ユーザのパスワードを入力することで、実際にshutdownコマンドが機能します。

root権限をすべて渡すことはできないけれど、特定のユーザに管理者コマンドを実行させたいときに便利な機能です。
/etc/sudoersの設定方法と、sudoコマンドの使い方をよく理解しておいてください。

■例題作成者
株式会社デージーネット 技術部技術管理課 森久恵