FreeBSDベースのオペレーティングシステムである FreeNAS に基づいて新しいサーバーをセットアップしています。システムにはグループwheel
があります。 sysadminsをグループwheel
に追加する必要があり、グループがsu
(スーパーユーザー)を使用する権限を与えるという漠然とした考えがあります。しかし、これはどこにも書き留められていません。
グループwheel
の目的は何ですか?どのような状況でユーザーを追加する必要がありますか?これについて説明しているFreeBSDのドキュメントも引用してください。
ユーザーがwheel
コマンドを使用してrootになる必要がある場合は、su
グループにユーザーを追加する必要があります。
FreeNASシステムを使用しているので、 グループインターフェース に関するドキュメントを参照することをお勧めします。ここでは、プライマリグループのドロップダウンメニューに関して、
このメニューにアクセスするには、新しいプライマリグループの設定を解除してください。セキュリティ上の理由から、wheelがプライマリグループである場合、FreeBSDはユーザーにsuパーミッションを与えません。ユーザーにsuアクセスを付与するには、それらを補助グループのwheelグループに追加します。
FreeBSDでのwheel
に関するその他のドキュメントについては、たとえば、.
FreeBSD FAQのセクション10.4 :「エラーが発生するのはなぜですか。rootにsuを実行しようとすると、su rootの正しいグループに属していません。」
これはセキュリティ機能です。 rootまたはスーパーユーザー権限を持つその他のアカウントにsuするには、ユーザーアカウントはwheelグループのメンバーでなければなりません。この機能がない場合、システムのアカウントを持ち、ルートのパスワードも知っている人なら誰でも、システムにスーパーユーザーレベルのアクセス権を取得できます。
FreeBSDハンドブックのセクション3.3.1. :スーパーユーザーアカウント
スーパーユーザー権限を取得するにはいくつかの方法があります。 rootとしてログインできますが、これはお勧めできません。
代わりに、su(1)を使用してスーパーユーザーになります。このコマンドの実行時に-を指定すると、ユーザーはrootユーザーの環境も継承します。このコマンドを実行するユーザーはwheelグループに属している必要があります。そうでない場合、コマンドは失敗します。ユーザーは、rootユーザーアカウントのパスワードも知っている必要があります。
FreeBSDハンドブックのセクション3.3.2.1 :adduser
[...]この例では、ユーザーはwheelグループに招待されており、su(1)でスーパーユーザーになることができます。
そして、明らかにsu(1)
のマニュアルも。
su(1)
man page にあります。
PAM is used to set the policy su(1) will use. In particular, by default
only users in the "wheel" group can switch to UID 0 ("root"). This group
requirement may be changed by modifying the "pam_group" section of
/etc/pam.d/su. See pam_group(8) for details on how to modify this set-
ting.
Manページの非常に古いバージョン said :
Only users who are a member of group 0 (normally "wheel") can su to
"root". If group 0 is missing or empty, any user can su to "root".
これにより、su
を許可するユーザーを制御できます。システムの1人のユーザーがsu
を使用できるようにする必要はほとんどありません。