rootのパスワードを意図しない人に知られてしまう事は運用上問題が発生してしまいます。
知られないようにするのも大切な事ですが、他に何か防ぐ方法というものが欲しいところです。
例えば直接rootでLoginすることはできず、特定のユーザーから「su」することでしかrootなれないなど。しかもそのサーバにはディスプレイもキーボードも付いてなく、sshで特定のユーザしかLoginできなければより強固になるのではないでしょうか。
ここでは特定のユーザしかrootになれない仕組みの作り方の話し。
「/etc/group」にグループが記載されていますが、その中の「wheel」にrootになれるアカウントを追加します。
wheel:x:10:root,user1
「/etc/pam.d/su」の次の行のコメントを外して有効にします。
auth required /lib/security/pam_wheel.so use_uid
※「/lib/security/pam_wheel.so」ファイルが必要になります。
グループ「wheel」に属しているユーザのみがrootになれるように、「/etc/login.defs」ファイルに以下の行をを追加します。
SU_WHEEL_ONLY yes
以上の設定でwheelグループに属しているユーザのみがrootになれるよう設定されます。
最後に、/etc/sudoers ファイルの次の行のコメントを外します。
root ALL=(ALL) ALL %wheel ALL=(ALL) ALL
こうすることで、wheel グループのユーザは sudo コマンドを利用できるようになります。
