ルートアカウントと管理アカウントの違い

Question 1

ルートを無効にする

ルートアカウントが必要です。「無効化」に関する限り、これを使用して実行できる唯一の作業は次のとおりです。

アカウントロック
```
$ sudo passwd -l root
```
ルートに使用できないパスワードを付与してください
```
$ sudo usermod -p '!' root
```

sudo - rootユーザーとして

「管理権限」を持つユーザーが使用する場合は、sudorootとして高い権限でコマンドを実行することを覚えておいてください。

簡単なコマンドを使用すると、これが本当であることを確認できますps。

$ sudo sh -c "ps -eaf | grep [s]udo"
root      2625 26757  0 04:19 pts/10   00:00:00 sudo sh -c ps -eaf | grep [s]udo

上記は、psこのコマンドを実行したときに実際にrootユーザーであることを示しています。

電源オン

また、シングルユーザーモード（GRUBから）でシステムを起動する場合は、rootアカウントでログインする必要があります。通常、singleGRUBに単語や数字を渡します1。

私にはどんなsudo権限がありますか？

特権システムでsudoこのコマンドを使用して、sudo -l自分が持っている特権を確認できます。これは、すべての人に対する完全な権限ではなく、コマンドを実行するユーザーの権限にすぎません。

たとえば、

$ sudo -l
Matching Defaults entries for saml on this host:
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG
    LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME
    LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User saml may run the following commands on this host:
    (ALL) ALL
    (root) NOPASSWD: /usr/lib/jupiter/scripts/bluetooth, (root) /usr/lib/jupiter/scripts/cpu-control, (root)
    /usr/lib/jupiter/scripts/resolutions, (root) /usr/lib/jupiter/scripts/rotate, (root) /usr/lib/jupiter/scripts/touchpad, (root)
    /usr/lib/jupiter/scripts/vga-out, (root) /usr/lib/jupiter/scripts/wifi

メモ:アクセスが許可されたコマンドは、「User saml can run the next...」行の後のすべてのコマンドです。

sudoによるアクセス制限

Sudoには、特定のコマンド、コマンドグループ、特定のユーザー、および/または特定のユーザーグループへのアクセスを制限するための非常に豊富なツールセットがあります。ただし、いくつかの注意事項がありますsudo。

次の行を使用すると、すべてに完全なアクセス権を付与できます/etc/sudoers。

aaditya      ALL=(ALL)    ALL

vimまた、ユーザーに特定のファイルへの非常に簡単なアクセスを提供することもできます。

aaditya      ALL=/usr/bin/vim

vimしかし、多くの編集者がその中でサブシェルを呼び出すことができるので、これは大きな間違いです。したがって、ユーザーは権限が意図されていない場合でも、aadityaroot権限でシェルにアクセスできます。sudo

Answer

ルートを無効にする

ルートアカウントが必要です。「無効化」に関する限り、これを使用して実行できる唯一の作業は次のとおりです。

アカウントロック
```
$ sudo passwd -l root
```
ルートに使用できないパスワードを付与してください
```
$ sudo usermod -p '!' root
```

sudo - rootユーザーとして

「管理権限」を持つユーザーが使用する場合は、sudorootとして高い権限でコマンドを実行することを覚えておいてください。

簡単なコマンドを使用すると、これが本当であることを確認できますps。

$ sudo sh -c "ps -eaf | grep [s]udo"
root      2625 26757  0 04:19 pts/10   00:00:00 sudo sh -c ps -eaf | grep [s]udo

上記は、psこのコマンドを実行したときに実際にrootユーザーであることを示しています。

電源オン

また、シングルユーザーモード（GRUBから）でシステムを起動する場合は、rootアカウントでログインする必要があります。通常、singleGRUBに単語や数字を渡します1。

私にはどんなsudo権限がありますか？

特権システムでsudoこのコマンドを使用して、sudo -l自分が持っている特権を確認できます。これは、すべての人に対する完全な権限ではなく、コマンドを実行するユーザーの権限にすぎません。

たとえば、

$ sudo -l
Matching Defaults entries for saml on this host:
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG
    LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME
    LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User saml may run the following commands on this host:
    (ALL) ALL
    (root) NOPASSWD: /usr/lib/jupiter/scripts/bluetooth, (root) /usr/lib/jupiter/scripts/cpu-control, (root)
    /usr/lib/jupiter/scripts/resolutions, (root) /usr/lib/jupiter/scripts/rotate, (root) /usr/lib/jupiter/scripts/touchpad, (root)
    /usr/lib/jupiter/scripts/vga-out, (root) /usr/lib/jupiter/scripts/wifi

メモ:アクセスが許可されたコマンドは、「User saml can run the next...」行の後のすべてのコマンドです。

sudoによるアクセス制限

Sudoには、特定のコマンド、コマンドグループ、特定のユーザー、および/または特定のユーザーグループへのアクセスを制限するための非常に豊富なツールセットがあります。ただし、いくつかの注意事項がありますsudo。

次の行を使用すると、すべてに完全なアクセス権を付与できます/etc/sudoers。

aaditya      ALL=(ALL)    ALL

vimまた、ユーザーに特定のファイルへの非常に簡単なアクセスを提供することもできます。

aaditya      ALL=/usr/bin/vim

vimしかし、多くの編集者がその中でサブシェルを呼び出すことができるので、これは大きな間違いです。したがって、ユーザーは権限が意図されていない場合でも、aadityaroot権限でシェルにアクセスできます。sudo

Question 2

管理アカウントと管理アカウントは決してroot同じではありません。 goldilocksとslmが言及したものに加えて、これはあなたに代わってできることを大幅に制限する可能性があることにroot注意する必要があります（例を参照）。これは、シニアシステム管理者が子管理者にフルアクセスを許可せずに一部の管理タスクを委任したい場合に特に便利です。最終的にフルアクセス権を持つユーザーはアカウントを奪取することができます。sudorootman sudoerssudoroot

Answer

管理アカウントと管理アカウントは決してroot同じではありません。 goldilocksとslmが言及したものに加えて、これはあなたに代わってできることを大幅に制限する可能性があることにroot注意する必要があります（例を参照）。これは、シニアシステム管理者が子管理者にフルアクセスを許可せずに一部の管理タスクを委任したい場合に特に便利です。最終的にフルアクセス権を持つユーザーはアカウントを奪取することができます。sudorootman sudoerssudoroot

ルートアカウントと管理アカウントの違い

答え1

ルートを無効にする

sudo - rootユーザーとして

電源オン

私にはどんなsudo権限がありますか？

sudoによるアクセス制限

答え2

関連情報