Linux の "su" (substitute user) コマンドは、ユーザーが一時的に別のユーザーアカウント、多くの場合 root ユーザーに切り替えて、管理タスクを実行できるようにする強力なツールです。しかし、su の認証失敗が発生すると、アクセス拒否や潜在的なセキュリティリスクにつながる可能性があります。このチュートリアルでは、Linux 上での su 認証失敗のトラブルシューティングプロセスについて説明します。一般的な原因、設定、および安全な su 使用のためのベストプラクティスをカバーします。
Linux の su コマンドを使用すると、ユーザーは現在のユーザー ID を別のユーザーに切り替えることができます。これは、権限昇格を必要とする管理タスクを実行する際に特に役立ちます。
su コマンドの基本的な使用法を探り、その仕組みを理解しましょう。
LabEx VM 環境でターミナルを開きます。次の構文で su コマンドを使用できます。
su [options] [username]ユーザー名を指定せずに su を実行すると、デフォルトで root ユーザーになります。
suroot パスワードの入力を求められます。ただし、Ubuntu を含む多くの最新の Linux ディストリビューションでは、セキュリティ上の理由から、root アカウントはデフォルトで無効になっています。
練習用にテストユーザーを作成しましょう。
sudo adduser testuserプロンプトが表示されたら、必要な情報を入力します。簡単にするために、このテストユーザーのパスワードとして「password」を使用できます。
次に、このユーザーに切り替えてみましょう。
su testuserプロンプトが表示されたら、testuser 用に作成したパスワードを入力します。認証されると、プロンプトが変わり、testuser として操作していることを示します。
ユーザーが正常に切り替わったことを確認するには、次を実行します。
whoami出力は次のようになります。
testuser元のユーザーに戻るには、単に次のように入力します。
exitsu コマンドはいくつかのオプションをサポートしています。最も一般的なのは - (ハイフン) オプションで、完全なログイン環境を提供します。
su - testuserこれは、ユーザー ID を切り替えるだけでなく、次のことも行います。
このコマンドを試して、違いを観察してください。
pwd出力は testuser のホームディレクトリを表示します。
/home/testuser次のように入力して、testuser から終了します。
exitsu コマンドのこの基本的な理解は、次の手順で認証失敗のトラブルシューティングに役立ちます。
su コマンドを使用すると、さまざまな理由で認証失敗が発生する可能性があります。これらの失敗を理解することが、それらを解決するための最初のステップです。
理解を深めるために、意図的にいくつかの認証失敗を作成してみましょう。
su testuser間違ったパスワードを入力します。次のようなエラーメッセージが表示されます。
su: Authentication failuresu nonexistentuser次のようなエラーメッセージが表示されます。
su: user nonexistentuser does not exist認証失敗の最も一般的な原因は、単に間違ったパスワードを入力することです。これは、次のような理由で発生する可能性があります。
一部のアカウントは、ログインを防止するように構成されているか、パスワードの有効期限が切れている可能性があります。
これを実証するために、テストユーザーを変更してみましょう。
sudo passwd -l testuserこれにより、testuser のパスワードがロックされます。次に試してください。
su testuser正しいパスワードを入力しても、認証失敗が表示されます。
次のコマンドでアカウントのロックを解除します。
sudo passwd -u testuserPluggable Authentication Modules (PAM) システムは、Linux での認証を制御します。PAM 設定の問題は、su の失敗を引き起こす可能性があります。
su コマンドの PAM 設定を調べてみましょう。
cat /etc/pam.d/suこのファイルには、su コマンドに固有の PAM 設定が含まれています。次のような、アクセスを制限する可能性のある行を探します。
auth required pam_wheel.soこの行は、コメントアウトされていない場合、su のアクセスを wheel グループのメンバーに制限します。
su コマンドのバイナリファイルは、正しく機能するために適切な権限を持っている必要があります。
ls -l $(which su)出力は次のようになります。
-rwsr-xr-x 1 root root 71816 Apr 18 2022 /usr/bin/su権限の s は、setuid ビットが設定されていることを示しており、プログラムが実行したユーザーではなく、所有者 (root) の権限で実行できるようになります。
認証失敗のトラブルシューティングを行う場合、システムログを確認すると貴重な情報が得られます。
sudo tail /var/log/auth.logこのコマンドは、失敗した su の試みなど、最近の認証イベントを表示します。
たとえば、失敗した su の試みは、次のようなエントリを表示する場合があります。
May 10 14:23:45 ubuntu su[12345]: FAILED su for root by labexsu 認証失敗のこれらの一般的な原因を理解することで、次の手順で問題をより効果的に特定して解決できます。
Linux は、su コマンドを使用できるユーザーを制御するためのいくつかのメカニズムを提供します。このステップでは、セキュリティを強化するために、これらのアクセス制御を設定する方法を探ります。
Pluggable Authentication Modules (PAM) システムは、Linux での認証を担当します。su コマンドの設定は、/etc/pam.d/su ファイルに保存されています。
このファイルを詳しく調べてみましょう。
cat /etc/pam.d/suこのファイルには、認証の実行方法を制御するさまざまなディレクティブが含まれています。確認すべき重要な行の 1 つは次のとおりです。
auth required pam_wheel.soこの行がコメントアウトされていない場合 ( # で始まっていない場合)、su のアクセスを wheel グループのメンバーに制限します。
su を使用して root に切り替えることを、特定のグループのメンバーに制限できます。これは一般的なセキュリティ対策です。
まず、sugroup という新しいグループを作成しましょう。
sudo groupadd sugroup次に、テストユーザーをこのグループに追加します。
sudo usermod -aG sugroup testuser次に、PAM 設定を変更して、su のアクセスをこのグループのメンバーに制限する必要があります。
sudo cp /etc/pam.d/su /etc/pam.d/su.bak次に、nano エディターで PAM 設定ファイルを開きます。
sudo nano /etc/pam.d/su次のような行を探します。
## auth required pam_wheel.soこの行のコメントを解除し (先頭の # を削除)、wheel の代わりに sugroup を使用するように変更します。
auth required pam_wheel.so group=sugroupCtrl+O を押してファイルを保存し、Ctrl+X を押して nano を終了します。
sugroup に属していないユーザーとして su を使用しようとすることで、設定をテストしてみましょう。
まず、別のテストユーザーを作成します。
sudo adduser testuser2プロンプトが表示されたら、必要な情報を入力します。
次に、testuser2 を使用して root ユーザーに切り替えてみます。
su - testuser2プロンプトが表示されたら、testuser2 のパスワードを入力します。
次に、root ユーザーに切り替えてみます。
su -正しい root パスワードを入力しても、認証失敗メッセージが表示されるはずです。これは、testuser2 が sugroup のメンバーではないためです。
次に、元のユーザーに戻ります。
exitそして、sugroup のメンバーである testuser で su を使用してみます。
su - testuserプロンプトが表示されたら、testuser のパスワードを入力します。
次に、root ユーザーに切り替えてみます。
su -正しい root パスワードを入力すると、root ユーザーに正常に切り替えることができるはずです。
このラボの残りの部分を完了するために、PAM 設定への変更を元に戻しましょう。
sudo cp /etc/pam.d/su.bak /etc/pam.d/suこの設定により、su コマンドを使用して root ユーザーに切り替えることができるユーザーを制御し、システムのセキュリティを強化できます。
su 認証失敗の一般的な原因とアクセス制御の設定方法を理解したので、これらの失敗のトラブルシューティングと解決に焦点を当てましょう。
su 認証失敗が発生した場合は、次の体系的な手順に従って問題を診断します。
エラーメッセージは、失敗の性質に関する貴重な手がかりを提供できます。一般的なエラーメッセージには以下が含まれます。
su: Authentication failure - 通常、間違ったパスワードを示します。su: user username does not exist - 指定されたユーザーアカウントが存在しません。su: permission denied - アクセス制御の制限により、操作が妨げられています。ターゲットユーザーアカウントが存在し、ロックされていないことを確認します。
grep testuser /etc/passwdこれにより、パスワードファイルに testuser のエントリが表示され、アカウントが存在することが確認されます。
アカウントがロックされているかどうかを確認します。
sudo passwd -S testuser出力には、アカウントのステータスが含まれます。「L」(ロック)と表示されている場合、アカウントはロックされています。
前の手順で学習したように、PAM 設定は su のアクセスを制限できます。そのような制限がないか確認します。
grep -v "^#" /etc/pam.d/su | grep pam_wheelこれが pam_wheel.so を含む行を返す場合、su へのアクセスは特定のグループのメンバーに制限されている可能性があります。
システムログは、認証失敗に関する詳細な情報を提供できます。
sudo tail -n 20 /var/log/auth.logsu の失敗に関連するエントリを探します。これにより、追加のコンテキストが提供される場合があります。
次に、一般的な su 認証失敗と、それらを解決する方法について説明します。
正しいパスワードを入力しても認証失敗が発生する場合は、パスワードをリセットする必要がある場合があります。
sudo passwd testuserプロンプトが表示されたら、testuser の新しいパスワードを入力します。
アカウントがロックされている場合は、ロックを解除します。
sudo passwd -u testuserアクセス制御の制限により su へのアクセスが妨げられている場合は、次のいずれかを実行できます。
a. ユーザーを必要なグループに追加します。
sudo usermod -aG sugroup testuser2これにより、testuser2 が sugroup に追加されます。
b. PAM 設定の関連行をコメントアウトして、制限を一時的に無効にします。
sudo sed -i 's/^auth\s\+required\s\+pam_wheel.so/#&/' /etc/pam.d/suこのコマンドは、su PAM 設定で pam_wheel.so を含む行をコメントアウトします。
su バイナリに誤った権限がある場合は、修正します。
sudo chmod u+s $(which su)これにより、su バイナリに setuid ビットが設定されていることが保証されます。
修正を適用した後、su 認証が正しく機能するかテストします。
su - testuserプロンプトが表示されたら、testuser のパスワードを入力します。成功した場合、testuser としてログインしているはずです。
root ユーザーに切り替えてみます。
su -root パスワードがあり、アクセス制御の制限が適切に処理されている場合は、root ユーザーに正常に切り替えることができるはずです。
これらのトラブルシューティング手順と修正は、最も一般的な su 認証失敗に対処します。これらの問題を体系的に診断して解決することにより、システムで su コマンドが正しく機能するようにすることができます。
この最終ステップでは、su コマンドを安全に使用するためのベストプラクティスを探ります。これらのプラクティスに従うことで、管理タスクを効果的に実行できるようにしながら、セキュリティリスクを最小限に抑えることができます。
sudo コマンドは、一般的に su よりも安全であると考えられています。その理由は次のとおりです。
su の代わりに sudo を使用する例:
## Instead of:
su -
## Then entering commands as root
## Use:
sudo commandこの例を試してください。
sudo ls /rootこれは、root ユーザーに切り替えることなく、root 権限で ls コマンドを実行します。
必要な権限のみを付与するように sudo が正しく設定されていることを確認します。
sudo visudoこれにより、安全なエディターで sudoers ファイルが開きます。ファイルには、次のようなエントリが含まれている必要があります。
## User privilege specification
root ALL=(ALL:ALL) ALL
## Members of the sudo group may gain root privileges
%sudo ALL=(ALL:ALL) ALL変更を加えることなく終了するには、Ctrl+X を押します。
root としての直接ログイン、特に SSH 経由でのログインを推奨しません。代わりに、ユーザーは通常の自分のアカウントでログインし、必要に応じて su または sudo を使用する必要があります。
SSH 経由での直接 root ログインが無効になっているかどうかを確認します。
grep "PermitRootLogin" /etc/ssh/sshd_configこれが PermitRootLogin no を返す場合、直接 root ログインは適切に無効になっています。
root パスワードと su アクセスを持つユーザーのパスワードが強力であることを確認します。
sudo apt-get install -y libpam-pwqualityこれにより、パスワード品質チェック用の PAM モジュールがインストールされます。
PAM 設定を編集して、パスワードポリシーを設定します。
sudo nano /etc/pam.d/common-passwordpam_pwquality.so を含む行を探し、次のような適切なパラメーターがあることを確認します。
password requisite pam_pwquality.so retry=3 minlen=12 difok=3設定を確認しているだけなので、変更を加えることなく終了するには、Ctrl+X を押します。
ログを確認して、su の使用状況を監視します。
sudo grep "su:" /var/log/auth.log | tail -n 10これは、最近の su の試行(成功と失敗の両方)を示しています。
攻撃の可能性がある複数の su 試行の失敗に対して、自動アラートを設定することを検討してください。
su を使用して別のユーザー、特に root に切り替える場合は、クリーンな環境を取得するためにダッシュ(-)オプションを使用します。
su - usernameこれにより、ターゲットユーザーの環境変数を持つログインシェルが提供され、元のユーザーの環境を継承することによって発生する可能性のある問題を回避し、より安全になります。
これらのベストプラクティスを実践してみましょう。
su - を使用する代わりに、sudo を使用します。## Instead of:
## su -
## cat /etc/shadow
## Use:
sudo cat /etc/shadowsu - testuserexitsudo grep "su:" /var/log/auth.log | tail -n 5これらのベストプラクティスに従うことで、su コマンドを安全に使用し、システムへの潜在的なセキュリティリスクを最小限に抑えることができます。
この実験では、Linux の su コマンドについて調査し、一般的な認証失敗のトラブルシューティング方法を学びました。以下をカバーしました。
su コマンドの基本的な使用法とその仕組みの理解su コマンドのアクセス制御の設定これらのテクニックとベストプラクティスを適用することで、Linux システムのセキュリティを維持しながら、su コマンドが正しく機能するようにすることができます。適切な認証管理は、システム管理とセキュリティの重要な側面であることを忘れないでください。
