【クラウドサーバー】su/sudoコマンドの制限でセキュリティ強化

su / sudoコマンドはroot権限を使うコマンドです。
全てのコマンドを実行できるようにする便利なコマンドですが、その反面、悪意あるユーザー（以下、クラッカー）に使われると、非常に危険なコマンドになります。

ここでは、その対策としてsu / sudoコマンドのセキュリティ強化について2つご紹介します。

なお、具体的な手順はさくらVPS（CentOS 7）になりますが、他のクラウドサーバーでも同じ観点でセキュリティ対策できることが多いので、都度読み替えてご覧ください。

内容

1. suコマンドの制限

suコマンドは他のユーザーに切り替えるコマンドです。
他ユーザーにはrootユーザーも含まれるため、実行できるユーザーを制限します。

$ sudo vi /etc/pam.d/su

wheelグループに所属するユーザーのみ実行を許可するため、下記記述のコメントアウトを外します。

- #auth require pam_wheel.so use_id
+ auth require pam_wheel.so use_id

wheelグループに実行を許可するユーザーを追加します。

$ usermod -G wheel ユーザー名

以上で設定完了です。
許可したユーザーのみsuコマンドを実行できるか確認してください。

sudoコマンドは他のユーザーとして任意のコマンドを実行するコマンドです。
一般的にはrootユーザーとしてコマンドを実行する時に使われるコマンドになります。

$ visudo

sudoコマンドの実行を許可するユーザーまたはグループを記述します。
ここではwheelグループを追加するため、下記のように追記します。

%wheel ALL=(ALL:ALL) ALL

以上で設定完了です。
許可したユーザーのみsudoコマンドを実行できるか確認してください。

su / sudoコマンドは便利な反面、悪意あるユーザーに使用されると危険なコマンドになります。
実行できるユーザーを制限してセキュリティを強化しましょう。