絖綛 N@i.jp  昨日:00044772
 今日:00040989
 総計:00093296
keywords
管理者専用
  Post   Add link   Control Panel 































新しいトピック
最新:03/21 19:08


新しいコメント
最新:07/28 16:47






管理人へMAIL

プライバシーポリシー

LS-VLではsuコマンドでrootになれない?

通常ユーザーでもsshログインできるようにしたのに


 昨日、rootだけでなく通常ユーザでも sshログインが可能になった我家のLS-VL。これで通常ユーザでログインしてから必要に応じてsuコマンドでrootになれれば、rootでのsshログインは許さないようにできると思っていた。だって24時間運転のサーバーに rootで直接ログインできるのって、やっぱり危ないでしょ。
 でも、やってみたら suコマンドが失敗することが分かった。

$ su -
su: Permission denied

こんな具合。LS-VLって中身はLinuxだと言っても、色々と機能を塞いでいるみたいだなぁ。ホームユース用NASなので、こんな事する人は少ないのだろうな。でも、中に入られたくないのなら、録画内容をフォルダ分けする機能を付けてくださいな。

 suコマンドを探してみたら、

# which su
/bin/su
# ls -l /bin/su
-rwxr-xr-x    1 root     root        30992 Feb 17  2009 /bin/su*

setuidビットが付いていないみたいなので、付けて試してみた。

# chmod ug+s /bin/su
# ls -l /bin/su
-rwsr-sr-x    1 root     root        30992 Feb 17  2009 /bin/su*

付いたみたい。これで通常ユーザーによる suコマンド実行は root権限で行われるはず。
 もう一度、通常ユーザで入り直して

$ su -
su: Permission denied

あれ?まだダメだ。"/var/log/messages" を見てみたら、こんなエラーログが出ていた。

Feb 24 09:48:06 LS_VL su[708]: pam_securetty(su:auth): access denied: tty 'pts/0' is not secure !
Feb 24 09:48:06 LS_VL su[708]: pam_authenticate: Permission denied
Feb 24 09:48:06 LS_VL su[708]: FAILED su for root by hoge
Feb 24 09:48:06 LS_VL su[708]: - pts/0 hoge:root

PAMの securetty が 'pts/0' をセキュアでない端末名だと思って拒否している様子。ならば、この端末は安全なんだよと教えてやれば良いのかな?この設定は "/etc/securetty" に追加すれば良いらしい。

# /etc/securetty: list of terminals on which root is allowed to login.
# See securetty(5) and login(1).
console
〜略〜
ttyS0
ttyFB0

pts/0
pts/1
pts/2
pts/3
pts/4
pts/5
pts/6
pts/7
pts/8
pts/9
pts/10
pts/11
pts/12

赤字の部分が追加した箇所。0〜12まで追加しているのは、その上にtty0〜12 があったのでそれに合わせただけで、深い意味はない。
 今度はどうかな?

$ su -
Password:
su: Permission denied

まだダメだ。でもパスワードを訊いて来るようになったぞ。"/var/log/messages" も様子が変わっている。

Feb 24 10:12:20 LS_VL su[8296]: pam_authenticate: Permission denied
Feb 24 10:12:20 LS_VL su[8296]: FAILED su for root by hoge
Feb 24 10:12:20 LS_VL su[8296]: - pts/0 hoge:root

 残るは "/etc/pam.d/su" かな?こんな風に設定を変更してみた。

#%PAM-1.0

auth       sufficient   pam_rootok.so

〜略〜

# Comment this to allow any user, even those not in the 'wheel'
# group to su
auth       required     pam_wheel.so use_uid group=hdusers

 suを許可するユーザーは wheelグループに入っていないといけないらしいのだけど、LS-VLのユーザーグループに wheel が無かったので、hdusersグループに対して suを許可するようにしてみた。
 さて、今度こそ

$ su -
Password:
Last login: Mon Feb 24 10:13:32 JST 2014 from 192.168.0.xxx on pts/0
root@LS_VL:~# 

できた!


< 過去の記事 [ 2月の 全てのカテゴリ リスト ] 新しい記事 >

2014 calendar
2月
1
2345678
9101112131415
16171819202122
232425262728


掲示板
最新:08/15 17:19


GsBlog was developed by GUSTAV, Copyright(C) 2003, Web Application Factory All Rights Reserved.