Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
現場で役に立たないsudoの使い方 | ODP
[go: Go Back, main page]
(^-^) togakushi, profile picture
Uploaded by(^-^) togakushi
33,697 views

現場で役に立たないsudoの使い方

現場で役に立たない sudo の使い方 #ssmjp 2013/06/28 @togakushi 1 / 30
sudo とは ● sudo “( su do” )は UNIX および Unix 系オペ レーティングシステムのプログラムの 1 つで、 ユーザーが別のユーザー(通常、スーパーユー ザーすなわち root )の特権レベルでプログラ ムを実行するためのコマンドである。 出典: http://ja.wikipedia.org/wiki/Sudo 2 / 30
結論 こんなに真面目に フザけたコマンドは 見たことない!! 3 / 30
マジメナツカイカタ 4 / 30
特権を制約 ● 無差別に root 権限を渡さずに限定的に使わせる – 特定ユーザ / グループのみ – 特定コマンドのみ – 特定ホストのみ – root 以外のユーザ / グループも指定可能 5 / 30
設定ファイルの構造 ● エイリアスの設定 ● デフォルト値の指定 ● ユーザ設定 ● 他のファイルのインクルード 順番はどうでもいいみたいだけど 最後に設定されたものが有効になる 6 / 30
ユーザ設定 ● 誰が何をしていいか決めるところ %admin ALL=(ALL) ALL who where = (as_whom) what [ 誰が どのホストで = ( 誰に変身して ) 何を ] 7 / 30
タグ ● ユーザ設定のコマンドリスト (what の部分 ) に はタグが指定できる ( 全 10 種 ) – NOPASSWD, PASSWD, NOEXEC, EXEC, SETENV, NOSETENV, LOG_INPUT, NOLOG_INPUT, LOG_OUTPUT, NOLOG_OUTPUT – 指定されたタグは反対の意味を持つタグが指定され るまでコマンドリストの中で継承される 8 / 30
エイリアスの種類 ● User_Alias ● Runas_Alias ● Host_Alias ● Cmnd_Alias 9 / 30
エイリアスの書式 ● NAME に使える文字 – 大英字、数字、アンダースコア – 先頭は英字 ● ’ ’同じタイプのエイリアスは : で区切って続け てかける Alias_Type NAME = item1, item2, … : NAME = ... 10 / 30
デフォルト値 ( 真偽値 ) ● authenticate – 実行する度に本人確認のためのパスワードを求める ● ignore_local_sudoers – ローカルの sudoers を無視する (LDAP 側で指定 ) ● log_input – キー入力すべてをログに取る ● log_output – スクリーンに出力されるものすべてをログに取る 11 / 30
デフォルト値 ( 真偽値) ● noexec – sudo を経由して実行されたコマンドから別のコマンドを実行でき ないようにする ● requiretty – sudo を実行するために tty を要求する ● rootpw – ユーザのパスワードではなく、 root のパスワードを求める ● runaspw – runas_default オプションで指定したユーザのパスワードを求め る 12 / 30
デフォルト値 ( 数値 ) ● passwd_tries – ユーザがパスワード入力できる回数 ● passwd_timeout – パスワードプロンプトがタイムアウトするまでの時 間 ( 分 ) ● timestamp_timeout – 再びパスワードを要求するまでの時間 ( 分 ) 13 / 30
デフォルト値 ( 文字列 ) ● iolog_dir – log_output や log_input が保存するディレクトリの 指定 ● iolog_file – log_output や log_input が保存するログファイル名 ● passprompt – パスワードを要求するときのプロンプト 14 / 30
デフォルト値 ( 文字列 ) ● lecture – パスワードプロンプトに添えるレクチャーの表示 ● always :いつでも必ず表示 ● never :一切表示しない ● once :初めて実行するときだけ ● lecture_file – 表示するレクチャーをファイルで指定する 15 / 30
別ファイルのインクルード ● #include – 別のファイルをインクルード – 絶対パス以外で指定した場合は sudoers と同じ位置から探す ● #includedir – 指定したディレクトリのファイル全部をインクルードする – 〜で終わる場合や . が含まれるファイル名は読み飛ばされる ● この # はコメントじゃないよ! 16 / 30
コマンドラインオプション ● -l,-ll – 何ができるか確認する ● -u,-g – 指定したユーザ / グループで実行 ● -p – パスワードプロンプトの変更 17 / 30
コマンドラインオプション ● -k,-K – キャッシュしたパスワードを破棄 ● -v – キャッシュの延長 ● -i,-s – シェルの実行 ( 何も指定してなければ root 権限 ) 18 / 30
sudoedit ● sudo -e と等価 19 / 30
visudo ● sudoers を編集するコマンド ● 保存時に構文チェックを行なってくれる ● sudoers に構文エラーがあると sudo が実行で きなくなるので注意! % sudo -s sudoedit: >>> /etc/sudoers: syntax error near line 35 <<< sudoedit: parse error in /etc/sudoers near line 35 sudoedit: no valid sudoers sources found, quitting sudoedit: unable to initialize policy plugin 20 / 30
sudoreplay ● log_output で保存しているログを再生するコマ ンド – -l で保存されているログのリストを表示 – -l user hogehoge のように検索も可能 21 / 30
LDAP と連携 ● サーバの設定 – スキーマを拡張 (sudo.schema) – sudoers の内容を追加 ● 既存の sudoers から移行するツールが付属してるよ ● クライアントの設定 – nsswitch.conf で sudoers が LDAP にあることを教える – LDAP の場所を教える ( コンパイル時に --with-ldap-conf-file で指定したファイル ) →詳しくは公式サイトで! http://www.sudo.ws/sudo/readme_ldap.html 22 / 30
フザケタツカイカタ 23 / 30
謝られる ● msgid "sorry, you are not allowed to set the following environment variables: %s" ● msgstr " すみませんが、あなたは次の環境変数を設定すること を許可されていません : %s" ● msgid "Sorry, user %s may not run sudo on %s.n" ● msgstr " ユーザー %s は %s 上で sudo を実行できません。 すみません。 n" ● msgid "sorry, you must have a tty to run sudo" ● msgstr "sudo を実行するには tty がなければいけません。す みません " 24 / 30
罵られる ● "Wrong! You cheating scum!" – 何やってんだ!お前はカスだ! ● "What, what, what, what, what, what, what, what, what, what?" – なんで?なんで?なんで?なんで?ねぇ?なんで? ● "You gotta go owwwww!" – 行っけぇぇぇーーー!! ● "I think ... err ... I think ... I think I'll go home" – え ... 間違い ... … …え え もう帰りたい ... ● "stty: unknown mode: doofus" – 不明なモード:あほ ● "Maybe if you used more than just two fingers..." – ねぇ、あなた、ひょっとして 2 本の指で打ったの ... 25 / 30
罵られる方法 ● ” ”コンパイルオプション 侮辱 を有効にしてコンパイル – --with-classic-insults ● include the insults from the "classic" sudo – --with-csops-insults ● include CSOps insults – --with-hal-insults ● include 2001-like insults – --with-goons-insults ● include the insults from the "Goon Show" – --with-all-insults ● include all the sudo insult sets 26 / 30
侮辱を有効にする ● /etc/sudoers に追記 – Defaults insults ● あとはパスワードを間違えるだけ! 27 / 30
残念ながら RHEL では。。。 ● 侮辱オプションは指定されていない %configure --prefix=%{_prefix} --sbindir=%{_sbindir} --libdir=%{_libdir} --docdir=%{_datadir}/doc/%{name}-%{version} --with-logging=syslog --with-logfac=authpriv --with-pam --with-pam-login --with-editor=/bin/vi --with-env-editor --with-ignore-dot --with-tty-tickets --with-ldap --with-ldap-conf-file="%{_sysconfdir}/sudo-ldap.conf" --with-selinux --with-passprompt="[sudo] password for %p: " --with-linux-audit --with-sssd 28 / 30
結論 こんなに真面目に フザけたコマンドは 見たことない!! 29 / 30
参考文献 ● http://ja.wikipedia.org/wiki/Sudo ● http://www.sudo.ws/ ● man sudo ● man sudoers 30 / 30

More Related Content

PDF
20分でわかるgVisor入門
byShuji Yamada
 
PDF
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
PPTX
コンテナネットワーキング(CNI)最前線
byMotonori Shindo
 
PDF
10分で分かるLinuxブロックレイヤ
byTakashi Hoshino
 
PDF
PGOを用いたPostgreSQL on Kubernetes入門(PostgreSQL Conference Japan 2022 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
CloudNativePGを動かしてみた! ~PostgreSQL on Kubernetes~(第34回PostgreSQLアンカンファレンス@オンライ...
byNTT DATA Technology & Innovation
 
PDF
コンテナの作り方「Dockerは裏方で何をしているのか?」
byMasahito Zembutsu
 
PPTX
本当は恐ろしい分散システムの話
byKumazaki Hiroki
 
20分でわかるgVisor入門
byShuji Yamada
 
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
コンテナネットワーキング(CNI)最前線
byMotonori Shindo
 
10分で分かるLinuxブロックレイヤ
byTakashi Hoshino
 
PGOを用いたPostgreSQL on Kubernetes入門(PostgreSQL Conference Japan 2022 発表資料)
byNTT DATA Technology & Innovation
 
CloudNativePGを動かしてみた! ~PostgreSQL on Kubernetes~(第34回PostgreSQLアンカンファレンス@オンライ...
byNTT DATA Technology & Innovation
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
byMasahito Zembutsu
 
本当は恐ろしい分散システムの話
byKumazaki Hiroki
 

What's hot

PDF
PostgreSQLの冗長化について
bySoudai Sone
 
PPTX
WiredTigerを詳しく説明
byTetsutaro Watanabe
 
PDF
Hyperledger Fabric 簡単構築ツール minifabricのご紹介 〜productionへの移行をminifabricで加速〜
byLFDT Tokyo Meetup
 
PDF
JSRとJEPとJBSの見方や調べ方について
byAya Ebata
 
PPTX
Helidon 概要
byオラクルエンジニア通信
 
PDF
IT エンジニアのための 流し読み Windows 10 - Windows のネットワーク最適化機能
byTAKUYA OHTA
 
PDF
Docker Compose入門~今日から始めるComposeの初歩からswarm mode対応まで
byMasahito Zembutsu
 
PDF
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
PPTX
Dockerからcontainerdへの移行
byAkihiro Suda
 
PPTX
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
bywind06106
 
PPTX
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
byNTT DATA Technology & Innovation
 
PPTX
ここがつらいよ、Hyperledger Fabricの商用適用(Blockchain GIG #4発表資料)
byNTT DATA Technology & Innovation
 
PPTX
Apache Avro vs Protocol Buffers
bySeiya Mizuno
 
PPTX
バッチは地味だが役に立つ
byapkiban
 
PPTX
これがCassandra
byTakehiro Torigaki
 
PDF
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
byVirtualTech Japan Inc.
 
PPTX
iostat await svctm の 見かた、考え方
by歩 柴田
 
PDF
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...
byNTT DATA Technology & Innovation
 
PDF
MySQLバックアップの基本
byyoyamasaki
 
PDF
OpenStack超入門シリーズ いまさら聞けないSwiftの使い方
byToru Makabe
 
PostgreSQLの冗長化について
bySoudai Sone
 
WiredTigerを詳しく説明
byTetsutaro Watanabe
 
Hyperledger Fabric 簡単構築ツール minifabricのご紹介 〜productionへの移行をminifabricで加速〜
byLFDT Tokyo Meetup
 
JSRとJEPとJBSの見方や調べ方について
byAya Ebata
 
Helidon 概要
byオラクルエンジニア通信
 
IT エンジニアのための 流し読み Windows 10 - Windows のネットワーク最適化機能
byTAKUYA OHTA
 
Docker Compose入門~今日から始めるComposeの初歩からswarm mode対応まで
byMasahito Zembutsu
 
OpenStack-Ansibleで作るOpenStack HA環境 手順書解説 - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
Dockerからcontainerdへの移行
byAkihiro Suda
 
SCUGJ第22回勉強会:オンプレのL2 NetworkをAzureに延伸? Azure Extended Network
bywind06106
 
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
byNTT DATA Technology & Innovation
 
ここがつらいよ、Hyperledger Fabricの商用適用(Blockchain GIG #4発表資料)
byNTT DATA Technology & Innovation
 
Apache Avro vs Protocol Buffers
bySeiya Mizuno
 
バッチは地味だが役に立つ
byapkiban
 
これがCassandra
byTakehiro Torigaki
 
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
byVirtualTech Japan Inc.
 
iostat await svctm の 見かた、考え方
by歩 柴田
 
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...
byNTT DATA Technology & Innovation
 
MySQLバックアップの基本
byyoyamasaki
 
OpenStack超入門シリーズ いまさら聞けないSwiftの使い方
byToru Makabe
 

More from (^-^) togakushi

PPTX
成績管理の話 (続き)
by(^-^) togakushi
 
PDF
ささみ麻雀部の紹介
by(^-^) togakushi
 
PDF
ファイナル・ファンタジー2のデータを解析してみる
by(^-^) togakushi
 
PDF
手順書の話 Ver.0.3.0
by(^-^) togakushi
 
PDF
仕事の捉え方の話 #ssmjp
by(^-^) togakushi
 
ODP
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
by(^-^) togakushi
 
PDF
Janog33.5
by(^-^) togakushi
 
ODP
sshdのお話
by(^-^) togakushi
 
ODP
tcpdumpとtcpreplayとtcprewriteと他。
by(^-^) togakushi
 
PDF
KVM+cgroup
by(^-^) togakushi
 
PDF
SSH力をつかおう
by(^-^) togakushi
 
PDF
jenkinsで遊ぶ
by(^-^) togakushi
 
PDF
Pakena #9
by(^-^) togakushi
 
PDF
SSH力をつけよう
by(^-^) togakushi
 
PDF
Sfstudy #2
by(^-^) togakushi
 
PPT
ひとりsphinx
by(^-^) togakushi
 
成績管理の話 (続き)
by(^-^) togakushi
 
ささみ麻雀部の紹介
by(^-^) togakushi
 
ファイナル・ファンタジー2のデータを解析してみる
by(^-^) togakushi
 
手順書の話 Ver.0.3.0
by(^-^) togakushi
 
仕事の捉え方の話 #ssmjp
by(^-^) togakushi
 
OpenSSH User EnumerationTime-Based Attack と Python-paramiko
by(^-^) togakushi
 
Janog33.5
by(^-^) togakushi
 
sshdのお話
by(^-^) togakushi
 
tcpdumpとtcpreplayとtcprewriteと他。
by(^-^) togakushi
 
KVM+cgroup
by(^-^) togakushi
 
SSH力をつかおう
by(^-^) togakushi
 
jenkinsで遊ぶ
by(^-^) togakushi
 
Pakena #9
by(^-^) togakushi
 
SSH力をつけよう
by(^-^) togakushi
 
Sfstudy #2
by(^-^) togakushi
 
ひとりsphinx
by(^-^) togakushi
 

Recently uploaded

PDF
How to Install and setup DEXCS2025 for OpenFOAM
byEtsuji Nomura
 
PDF
Scrum Sunrise 2025年 市場ニーズの​発見と​仮説検証 ワークショップ
byGregory Fontaine
 
PPTX
AWS Card Clash で遊ぼう!2025/10/24の勉強会で発表されたものです。
byiPride Co., Ltd.
 
PDF
技育祭2025秋 サボろうとする生成AIの傾向と対策 登壇資料(フューチャー渋川)
byYoshiki Shibukawa
 
PDF
45分で遊び倒す! Nano Banana 2大ゲーム体験会 (Tech or Treat Night)
bygdscosaka
 
PPTX
「Drupal SDCについて紹介」2025/10/17の勉強会で発表されたものです。
byiPride Co., Ltd.
 
PDF
「似ているようで微妙に違う言葉」2025/10/17の勉強会で発表されたものです。
byiPride Co., Ltd.
 
How to Install and setup DEXCS2025 for OpenFOAM
byEtsuji Nomura
 
Scrum Sunrise 2025年 市場ニーズの​発見と​仮説検証 ワークショップ
byGregory Fontaine
 
AWS Card Clash で遊ぼう!2025/10/24の勉強会で発表されたものです。
byiPride Co., Ltd.
 
技育祭2025秋 サボろうとする生成AIの傾向と対策 登壇資料(フューチャー渋川)
byYoshiki Shibukawa
 
45分で遊び倒す! Nano Banana 2大ゲーム体験会 (Tech or Treat Night)
bygdscosaka
 
「Drupal SDCについて紹介」2025/10/17の勉強会で発表されたものです。
byiPride Co., Ltd.
 
「似ているようで微妙に違う言葉」2025/10/17の勉強会で発表されたものです。
byiPride Co., Ltd.
 

現場で役に立たないsudoの使い方