2 sudo #

標準ユーザとしてログインしている場合、コマンドの前にsudoを追加することで、任意のコマンドをrootとして実行できます。その際、rootパスワードの入力が要求され、認証に成功すると、コマンドがrootとして実行されます。

tux > id -un1
tux
tux > sudo id -un
root's password:2
root
tux > id -un
tux3
tux > sudo id -un
4
root

ヒント: I/Oリダイレクト

I/Oリダイレクトは、多くのユーザが期待している動作と異なります。

tux > sudo echo s > /proc/sysrq-trigger
bash: /proc/sysrq-trigger: Permission denied
tux > sudo cat < /proc/1/maps
bash: /proc/1/maps: Permission denied

昇格された特権で実行されるのはecho/catバイナリのみで、リダイレクトは、ユーザのシェルでユーザ特権を使用して実行されます。2.1.2項 「シェルの起動」で説明しているようにシェルを起動することも、ddユーティリティを使用することもできます。

echo s | sudo dd of=/proc/sysrq-trigger
sudo dd if=/proc/1/maps | cat

すべてのコマンドの前にsudoを追加するのは煩わしい場合があります。シェルはsudo bashコマンドとして指定できますが、組み込まれたメカニズムのいずれかを使用してシェルを起動することをお勧めします。

デフォルトでは、sudoは環境変数を伝達しません。

tux > ENVVAR=test env | grep ENVVAR
ENVVAR=test
tux > ENVVAR=test sudo env | grep ENVVAR
root's password:
1
tux > 

この動作は、env_resetオプションで変更できます。表2.1「有用なフラグとオプション」を参照してください。

sudo向けの主なポリシー設定ファイルは、/etc/sudoersです。ポリシー設定ファイル内のエラーが原因で、システムからロックアウトされてしまう可能性があるため、編集にvisudoを使用することを強くお勧めします。このコマンドは、開いているファイルが同時に変更されるのを防ぎ、構文エラーがないかどうかも変更の保存前に確認します。

その名前が示唆するのとは異なり、EDITOR環境変数を次のように設定して、vi以外のエディタを使用することもできます。

sudo EDITOR=/usr/bin/nano visudo

ただし、/etc/sudoersファイル自体はシステムパッケージで提供されるため、アップデート時に変更内容が失われてしまう可能性があります。そのため、カスタム設定は、/etc/sudoers.d/ディレクトリ内のファイルに対して行うことをお勧めします。そこにあるファイルは自動的にインクルードされるからです。対象のサブディレクトリでファイルを作成または編集するには、次のコマンドを実行します。

sudo visudo -f /etc/sudoers.d/NAME

または、別のエディタ(nanoなど)を使用します。

sudo EDITOR=/usr/bin/nano visudo -f /etc/sudoers.d/NAME

注記: /etc/sudoers.d内の無視されるファイル

/etc/sudoers.dをインクルードするために使用される/etc/sudoersの#includedirコマンドでは、~(チルダ)で終わるファイルや.(ドット)を含むファイルが無視されます。

visudoコマンドの詳細については、man 8 visudoを実行してください。

sudoersの設定ファイルには、2種類のオプション(文字列とフラグ)があります。文字列には任意の値を含めることができますが、フラグはONかOFFのいずれかのみです。sudoersの設定ファイルの最も重要な構文構造を次に示します。

# Everything on a line after a # gets ignored 1
Defaults !insults # Disable the insults flag 2
Defaults env_keep += "DISPLAY HOME" # Add DISPLAY and HOME to env_keep
tux ALL = NOPASSWD: /usr/bin/frobnicate, PASSWD: /usr/bin/journalctl 3

Defaults targetpw # Turn targetpw flag ON

Defaults !rootpw # Turn rootpw flag OFF

Defaults env_reset # Turn env_reset flag ON

# Set env_keep to contain EDITOR and PROMPT
Defaults env_keep = "EDITOR PROMPT"
Defaults env_keep += "JRE_HOME" # Add JRE_HOME
Defaults env_keep -= "JRE_HOME" # Remove JRE_HOME

# Set env_delete to contain EDITOR and PROMPT
Defaults env_delete = "EDITOR PROMPT"
Defaults env_delete += "JRE_HOME" # Add JRE_HOME
Defaults env_delete -= "JRE_HOME" # Remove JRE_HOME

Defaultsトークンを使用することで、ユーザ、ホスト、およびコマンドのコレクションのエイリアスを作成することもできます。さらに、一連のユーザのみを対象としてオプションを適用することができます。

/etc/sudoers設定ファイルの詳細については、man 5 sudoersを参照してください。

sudoersの設定のルールは非常に複雑な場合があるため、このセクションでは、基本的なルールのみを説明します。各ルールは、基本的なスキームに従います([]はオプション部分を示しています)。

#Who      Where         As whom      Tag                What
User_List Host_List = [(User_List)] [NOPASSWD:|PASSWD:] Cmnd_List

ALLは、User_List、Host_List、およびCmnd_Listとしても使用できます。

パスワードを入力しなくても、tuxがすべてのコマンドをrootとして実行できるようにするルールは次のとおりです。

tux ALL = NOPASSWD: ALL

tuxがsystemctl restart apache2を実行できるようにするルールは次のとおりです。

tux ALL = /usr/bin/systemctl restart apache2

tuxがwallをadminとして引数なしで実行できるようにするルールは次のとおりです。

tux ALL = (admin) /usr/bin/wall ""

警告: 危険な構造

次のような構造は、

ALL ALL = ALL

Defaults targetpwなしでは使用できません。そうしないと、だれでもrootとしてコマンドを実行できるようになってしまいます。

これは、特殊な制限(「ユーザXは、root」としてのみコマンドYを実行できる)がある場合は不可能なことです。それ以外の場合も、コマンドの実行権限にある程度の区別を付けることが推奨されます。慣例では、wheelグループのメンバーは、すべてのコマンドをrootとしてsudoで実行できます。

グラフィカルアプリケーションをsudoで起動すると、次のエラーが発生します。

tux > sudo xterm
xterm: Xt error: Can't open display: %s
xterm: DISPLAY is not set

YaSTによって、グラフィカルインタフェースの代わりにncursesインタフェースが選択されます。

sudoで開始したアプリケーションでX.Orgを使用するには、DISPLAY環境変数およびXAUTHORITY環境変数を伝達する必要があります。これらの環境変数を設定するには、/etc/sudoers.d/xorgファイル(2.2.1項 「設定ファイルの編集」を参照)を作成して、次の行を追加します。

Defaults env_keep += "DISPLAY XAUTHORITY"

まだ設定されていない場合は、XAUTHORITY変数を次のように設定します。

export XAUTHORITY=~/.Xauthority

これで、X.Orgアプリケーションを通常どおり実行できます。

sudo yast2