編集後記

★ 動的IPなメールサーバ vs ORDB

などという事件を聞く。ううむ。。。

★ メモ。suでrootになれるユーザをwheelグループに限定

Red Hat Linuxで、suコマンドでroot権限を得られるユーザをwheelグループだけに限定したければ、/etc/pam.d/suファイルを編集します。

#%PAM-1.0
auth       sufficient   /lib/security/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient   /lib/security/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required     /lib/security/pam_wheel.so use_uid
auth       required     /lib/security/pam_stack.so service=system-auth
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_xauth.so

赤字の行を、行頭の'#'を削除して有効にします。

そこではなくその2行上、

#auth       sufficient   /lib/security/pam_wheel.so trust use_uid

を有効にすると、wheelグループの所属ユーザはパスワードなしでrootにsuできます。

/etc/suauthファイルを作るという方法が知られていますが、Red Hat Linuxの場合*1うまく働きません。

あわせて/etc/login.defsファイルに

SU_WHEEL_ONLY yes

を記述する、というのがあるのだけれども、これはどういう効果があるのかな。