web-dev-qa-db-ja.com

FreeBSD(FreeNAS)OSのグループ「ホイール」の目的は何ですか?

FreeBSDベースのオペレーティングシステムである FreeNAS に基づいて新しいサーバーをセットアップしています。システムにはグループwheelがあります。 sysadminsをグループwheelに追加する必要があり、グループがsu(スーパーユーザー)を使用する権限を与えるという漠然とした考えがあります。しかし、これはどこにも書き留められていません。

グループwheelの目的は何ですか?どのような状況でユーザーを追加する必要がありますか?これについて説明しているFreeBSDのドキュメントも引用してください。

3
Jim DeLaHunt

ユーザーがwheelコマンドを使用してrootになる必要がある場合は、suグループにユーザーを追加する必要があります。

FreeNASシステムを使用しているので、 グループインターフェース に関するドキュメントを参照することをお勧めします。ここでは、プライマリグループのドロップダウンメニューに関して、

このメニューにアクセスするには、新しいプライマリグループの設定を解除してください。セキュリティ上の理由から、wheelがプライマリグループである場合、FreeBSDはユーザーにsuパーミッションを与えません。ユーザーにsuアクセスを付与するには、それらを補助グループのwheelグループに追加します。

FreeBSDでのwheelに関するその他のドキュメントについては、たとえば、.

  • FreeBSD FAQのセクション10.4 :「エラーが発生するのはなぜですか。rootにsuを実行しようとすると、su rootの正しいグループに属していません。」

    これはセキュリティ機能です。 rootまたはスーパーユーザー権限を持つその他のアカウントにsuするには、ユーザーアカウントはwheelグループのメンバーでなければなりません。この機能がない場合、システムのアカウントを持ち、ルートのパスワードも知っている人なら誰でも、システムにスーパーユーザーレベルのアクセス権を取得できます。

  • FreeBSDハンドブックのセクション3.3.1. :スーパーユーザーアカウント

    スーパーユーザー権限を取得するにはいくつかの方法があります。 rootとしてログインできますが、これはお勧めできません。

    代わりに、su(1)を使用してスーパーユーザーになります。このコマンドの実行時に-を指定すると、ユーザーはrootユーザーの環境も継承します。このコマンドを実行するユーザーはwheelグループに属している必要があります。そうでない場合、コマンドは失敗します。ユーザーは、rootユーザーアカウントのパスワードも知っている必要があります。

  • FreeBSDハンドブックのセクション3.3.2.1adduser

    [...]この例では、ユーザーはwheelグループに招待されており、su(1)でスーパーユーザーになることができます。

そして、明らかにsu(1)のマニュアルも。

1
Kusalananda

su(1) man page にあります。

PAM is used to set  the policy su(1) will use.  In particular, by default
only users  in the "wheel" group can switch to UID 0 ("root").  This group
requirement may be  changed by modifying the "pam_group" section of
 /etc/pam.d/su.  See pam_group(8) for details on how to modify this set-
ting.

Manページの非常に古いバージョン said

Only users  who are a member of group 0 (normally "wheel") can su to
"root".   If group  0 is missing or empty, any user can su to "root".

これにより、suを許可するユーザーを制御できます。システムの1人のユーザーsuを使用できるようにする必要はほとんどありません。

3
Michael Hampton