ユーザをwheelグループに追加するのは何のため？

■環境
・Cent OS

■質問1
・ユーザをwheelグループに追加するのは何のためでしょうか？
・sudo コマンドを使えるようにするため？
・sudo コマンドを使わないなら、追加しなくてもよい？

■背景
・新しく作成したユーザを、wheelグループへ追加するべきか判断がつかない
・このユーザは、「apacheユーザのセカンダリグループとして追加するためだけに作ったグループ」用ユーザです

■質問2
・wheelグループ名は固定なのでしょうか？
・例えば、hogeなどに変更可能？

No.2 ベストアンサー 回答者： Wr5 回答日時： 2014/04/26 18:25

>・ユーザをwheelグループに追加するのは何のためでしょうか？

既に回答ある通りです。

自ユーザー以外の一般ユーザーアカウントがあって、管理者に昇格できる(suコマンドでrootになれる)アカウントを制限したい場合に使います。
PAMを利用していないと無意味かも知れませんが…。
# CentOSなら普通にPAM使っているでしょう。
あと、pam_wheel.soのモジュールを利用するように変更する必要もあるでしょう。
/etc/pam.d/su の編集が必要でしょうね。
# 該当ファイルにコメント書かれているんで読んでください。英語ですが。

>・sudo コマンドを使えるようにするため？
>・sudo コマンドを使わないなら、追加しなくてもよい？

/etc/pam.d/sudo というのが別にありますから、sudoコマンドではなくあくまでsuコマンドでの制限ですね。
sudoコマンドでの制限は別のファイルでかけることになりますし。
# /etc/pam.d/sudo なりでpam_wheel.soのモジュールを使用するように設定すれば意味はありましょう。

>・新しく作成したユーザを、wheelグループへ追加するべきか判断がつかない

追加したアカウントを外部から操作できる状態で、管理者権限を付与したくない。
というのであれば、PAMでpam_wheel.soを有効にするべきでしょう。
# 当然、本来の管理者はwheelグループに登録。
シェルが使える状態になっていない…というのなら、そこまで厳しくする必要は無いかも知れません。
まぁ、かける手間と効果を考慮すると、外部公開するならwheelグループ使うようにした方がいいんでしょうけどね。
# PAMの設定変更と管理者昇格可能なユーザーのwheelグループへの追加だけでやらないよりはセキュリティ的に安全になるのですから。
# 言いつつ私はやっていませんけど。まぁ後でやっておくか…。

>・このユーザは、「apacheユーザのセカンダリグループとして追加するためだけに作ったグループ」用ユーザです

なら、管理者になる必要も無いかと思われますが…。

>・wheelグループ名は固定なのでしょうか？
>・例えば、hogeなどに変更可能？

man 8 pam_wheel
してください。

この回答へのお礼

回答＆詳細な解説ありがとうございました。
大変参考になりましたー

お礼日時：2014/05/02 10:39

No.1 回答者： 486HA 回答日時： 2014/04/26 15:54

「wheel グループ」とは

UNIX系システム上でスーパーユーザー（root）特権を得ることのできるユーザーの属するグループの名称。
詳しくは、次を参考にしてください。
http://itpro.nikkeibp.co.jp/word/page/10005502/

この回答へのお礼

回答ありがとうございましたー

お礼日時：2014/05/02 10:39