ユーザーの管理者権限として、不必要な損失を引き起こし誤用するのは簡単です。さらに、ルート管理によって奇妙な疲れて、管理者があまりにもデートについて移動する時間を残すために必要とする人々、時計映画、バカがロードプレーしているにもある、ボーッと、そうではありませんか?健康管理のアプローチは、建築後の優れたLinuxのサービスですので、日常の管理を完了ヘルプを通常のユーザを許可することができます。
ツールはすでにデフォルトでインストールより人気sudoを、ほぼすべてのLinuxです。また、ノートにも、一般的な権利として、我々だけで導入している全ての権利は、オブジェクトのデフォルトの動作は、ファイルやディレクトリのパーミッション、ACLアクセス権、特別なアクセス許可、ファイルシステムのアクセス権およびその他の属性ですが、オブジェクトはsudoのオペレーティング・システム・コマンドであることもともとrootだけが与えている一般ユーザは、スーパーユーザーが実行することにより、コマンドを実行します。
使用するSUDOシンプル、ルート管理者が編集に設定ファイル/ etc / sudoersファイルの許可をvisudoをコマンドを使用しています。次のようにコマンドは次のとおりです。
[ルート@ localhostの〜]#visudoを
...出力省略...
ルートALL =(ALL)ALL
%ホイールALL =(ALL)ALL
#この2行は、テンプレートシステムが私たちを提供し、我々はそれに自分自身を書くために、それを参照してくださいです
...出力は省略します...
ファイルのフォーマットを説明します。
ルートALL =(ALL)ALL
#ユーザー名管理対象ホストアドレス=(使用可能な容量)authorizationコマンド(絶対パス)
#%のホイールALL =(ALL)ALL
#%のグループ名管理対象ホストアドレス=(利用可能アイデンティティ)authorizationコマンド(絶対パス)
次のパラメータの4意味特定の
ユーザー名/グループ名:「%」を与えるコマンドにrootユーザーまたはユーザーグループを表し、グループ名に注意を払うとし
ユーザーが指定したコマンドを使用して、管理サーバーのIPアドレスを指定することができます。あなたはALLを記述する場合、ユーザーは任意のホストに代わって管理することができ、あなたが固定IPを記述する場合は、ユーザーが指定したサーバに代わって管理することができます。ここでは、マシンのIPアドレスを記述する場合、唯一のユーザーはマシンを使用するコマンドを指定することができ、かつ指定されたユーザーに代わっていることを意味するものではありません任意のIPアドレスから現在のサーバーを管理することができます。
あなたが身元使用することができます。ユーザーはIDを使用するように切り替えるものの源である、(ALL)代表は、任意のIDに切り替えることができます。このフィールドを省略することができます。
承認されたコマンド:一般ユーザへのルートの代わりにどのようなコマンド認可。デフォルトでは、コマンド認可する必要がある場合、あなたは、単にコマンド名を書くことができますどのような、任意の順序に代わって、ALLもちろんのではありません。しかし、絶対パスを記述する必要があり、覚えておいてください。
[実施例1]
許可ユーザー・ランプは、サーバーを再起動してルートを追加し、次の行することができます:
[ルート]〜@ localhostのvisudoを#
ランプALL = / sbinに/ -R&今LTシャットダウン
そのような%のadmgroupとしてパーセント記号とグループ名を指定し、コマンド許可複数のカンマで区切られました。ユーザーがコマンドの一覧を表示する権限はsudo -lランプを使用することができます。
[ルートは、@ localhostの〜]#SU -ランプ
#ランプがユーザーに切り替え
、[@ランプlocalhostの〜] $ sudoを-l
ランプのための[須藤]パスワード:
ユーザーのパスワード入力する#ランプ
ユーザーのランプが上で次のコマンドを実行して 、このホスト:
今-r(ルート)/ sbinに/シャットダウン
#ユーザーが今の特権を持ってい-rランプのシャットダウンを見ることができます
Pランプは、ユーザーのパスワードにパスワードの入力を求め、サーバは、ユーザの操作は自身がランプユーザでないことを確認することです。:ユーザーは、単に次のコマンドを使用して、実行する必要があるランプ
[localhostのランプ@〜] $ sudoを/ sbinに/ -R&LT今すぐシャットダウンを
そのランプのユーザーがサーバーを再起動することができます。コマンドは、絶対パスを記述するか、パスsbinに/は、通常のユーザーのPATHパスをインポートする、または実行できないことに注意してください。
[例2]は
Webサーバーを管理するユーザーを認証します。:まず、ユーザーが実装するApacheの少なくとも基本的な認可を管理権限が何を分析するために
あなたがApacheの管理スクリプトを使用することができます。
あなたは、Apacheの設定ファイルを変更することができます。
あなたは、Webコンテンツを更新することができます。
Apacheは管理スクリプトが/etc/rc.d/init.d/httpdであると仮定します。第一の条件は、visudoをコマンドを使用して許可され、満たされています。
[ルート@ localhostの〜]#visudoをの
LAMP = 192.168.0.156の/ etc / rc.dの/ init.dディレクトリ/リロードのhttpd、
/etc/rc.d/init.d/httpd設定試験
許可されたユーザーは、192.168.0.156にランプApacheサーバを接続することができ、効果(リロード)を取るために設定変更を行うために、Apacheの設定ファイル管理スクリプトを再読み込みして、構文エラーがApacheの設定ファイルを検出することができます(設定試験)が、(近くにその実施を許可していません。 STOP)、再起動(再起動)動作コマンドと(「」ラインが完了していないことを意味し、同じ行の次の行の内容)が挙げられます。
第2の条件は、同じ認証を使用してvisudoをコマンド満足しています。
[ルート@ localhostの〜]#visudoを
ランプ192.168.0.156 = / binに/ viのある/etc/httpd/conf/httpd.confは
、ユーザーがrootとしてのviエディタランプApacheの設定ファイルを使用することができます承認しました。
須藤二つ以上の設定は特別な注意を払うように、多くの人々が、2種類のエラーを作るsudoを使用します:
まず、コマンドはオプションとパラメータを調整することが許可されていない、
第二、コマンドが許可された管理者のみで行うことができると考えています。
第三の条件が比較的単純で、そのウェブ格納ディレクトリは、/ var / www / htmlと仮定すると、あなただけのことができ、ランプのユーザーがこのディレクトリへの書き込み権限を持っている、または単にランプの所有者にディレクトリを変更承認する必要があります。必要であれば、あなたはまた、ランプのユーザーがFTPおよびその他の文書を経由してウェブ共有サービスを更新することができます設定することができます。
これまでのところ、この章が終わって、我々はすべてのLinuxシステムの一般的な権利を導入しました。最後に、念頭に置いて、システムのセキュリティの基本原則を保管してください:最小限のユーザーが許可を与えます。スパイダーマンは「偉大な力は大きな責任を伴います」、と、Linuxの管理者は、言った「大容量より大きいエラーの確率」!
