capistrano, tomahawk などから sudo ができなかった場合に確認する項目 - 256bitの殺人メニュー
どもども。小ネタ投げまくりモードですよ。 capistrano, tomahawkなどのような複数サーバにコマンドを投げるソリューションを使用する場合にこのようなエラーメッセージが出てsudoできない場合があります。 sudo: no tty present and no askpass program specified こちらですが、/etc/sudoers*1にvisiblepwの設定が入ってないために怒られてます。 visiblepw デフォルトでは、ユーザがパスワードを入力しなければならないときに、使用しているターミナルでエコーの抑制ができなかったら、 sudo は実行を拒否するようになっている。これに対し、 visiblepw フラグが設定されていると、パスワードがスクリーンに表示され てしまう場合でも、sudo はプロンプトを出して、パスワードを求める。この動作によって、 r
Snow LeopardのAutomatorで、sudoを使うとエラーになる | 株式会社ソリッド・クルー
普段使っている、Mac Book 以外に、あれこれ保存したりするための、いわゆるネットワークドライブというものを配備してあって、そこでは、nfs をサービスさせています。 Mac で、起動して、ログイン後、まず、ネットワークドライブを mount したいわけですが、Mac OS X では、これを Automator で、以下のようにして、使っていました。 1. 「指定されたテキストを取得」に sudo のパスワードを入れる。 2. 「シェルスクリプトを実行」に、"sudo mount_nfs -P www.xxx.yyy.zzz:マウント元ディレクトリ マウント先のディレクトリ; " を入れる。 この時、入力の引き渡し方法は、標準入力(stdin)にする。 これで、ちゃんとうまくいっていたのに、Snow Leopard に変えた途端、動作しなくなった。 調べてみると、エラーの内容は、 「s
@IT:止められないUNIXサーバの管理対策 第5回 (3) ~管理者権限の制限のためのsuとsudoの基本~
※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は、すべてのコマンドが使用できてしまう特権ユーザー(スーパーユー ザー)の利用制限について説明した。今回は、引き続き特権ユーザーが通常行うsuのセキュリティ上の問題点やsudoの基本的な使い方について紹介する。 suの問題点 suコマンドは、再ログインになしにrootに限らず任意のユーザーにスイッチすることができるという、とても便利なコマンドだ。しかし、そんなsuコマンドには、以下に示すようなことが懸念されている。 ●rootのパスワードを入力する必要がある suコマンドは、実行時にスイッチするユーザーのパスワードを入力する必要がある。例えばtelnetでリモートログ
コマンド:sudo: UNIX/Linuxの部屋
sudo コマンドは、root などの他のユーザ権限で特定のコマンドを実行するためのコマンドである。sudo を使うと「root パスワードを教えずに」「誰に」「どのコマンドを実行可能とする」といった細かな権限を設定できるため、セキュリティが向上する。sudo コマンドは Linux・FreeBSD 等、一般的な UNIX 系 OS で外部パッケージとして提供されているが、環境によっては既にインストール済みのことも多い。 ●sudo コマンドの基本的な使い方 sudo は、一般ユーザ権限では普通実行できないコマンドを、あるユーザだけには許可したいが、root 権限を与えたくはない場合に使う。また、誰がどういうコマンドを実行したかは /var/log/messages・/var/log/syslog・/var/log/authlog などに記録される。どのログファイルに出力されるかは sys
Manpage of sudoers
sudoers Section: MAINTENANCE COMMANDS (5) Updated: 1.6.6 Index JM Home Page roff page 名前 sudoers - どのユーザが何を実行できるかのリスト 説明 sudoers ファイルは、2 つのタイプのエントリから構成される。 (基本的には変数である) エイリアスと (誰が何を実行できるかを指定する) ユーザ指定である。 sudoers の文法は、 Extended Backus-Naur Form (EBNF) (拡張バッカス・ナウア記法) を用いたかたちで以下に記述する。 EBNF を知らなくても諦めないでほしい。 EBNF は割に簡単だし、以下の定義には注釈をつけてある。 EBNF の簡単なガイド EBNF は言語の文法を記述する簡単で厳密な方法である。 EBNF の各定義は、生成規則からなっている。
sudos | Carpe Diem
本番サーバ上で、sudo コマンド経由でスーパーユーザ権限で実行することはよくあります。 sudo コマンドはなくてはならないコマンドですが、同時に危険なコマンドでもあります。 今まで、ずっとデフォルトの sudo の設定で使っていたのですが、改めて設定を見直してみました。 sudo の公式ページをみてみると、頻繁にバージョンアップされているのがよく分かります。/etc/sudoers の設定方法も詳しいドキュメントがあっていい感じです。 次の2点ほど設定を見直しました。 デフォルトのパスワードのキャッシュ時間を 0 にする パスワードプロンプトにホスト名を表示する まず、最初の設定はデフォルトだと 5 分間、パスワードがキャッシュされます。そうすると、連続で sudo コマンドを実行するとき、パスワードを聞かれないためオペミスを起こしてしまう可能性が高まります。そこで、キャッシュ時間を
rootのパスワードが必要なスクリプトを書く場合の注意点 - スコトプリゴニエフスク通信
MySQLのrootユーザーのパスワードが必要なスクリプトを書く場合、 #!/bin/bash mysqladmin -uroot -ptiger ping のようにスクリプト自体にパスワードを書くのではなく、rootのHOMEディレクトリの.my.cnf(/root/.my.cnf)の中にパスワードを書き、rootユーザにしか読めないように600にしておく。 # cat > /root/.my.cnf [client] user = root password = tiger [mysqladmin] user = root password = tiger # chown root:root /root/.my.cnf # chmod 600 /root/.my.cnf と、ここまではいいのだが、テストとして、 $ sudo mysqladmin ping mysqladmin: co
ウノウラボ Unoh Labs: ベンチャー流サーバ構築のススメ(同期ツール編)
ダイエット中で炭水化物の量が気になる尾藤正人です。 前回のエントリベンチャー流サーバ構築のススメ(ソフトウェア編)では、主にOS周りのことについて書きました。複数台のサーバを管理するのに重要なのは極力構成を同じにすることです。そうすることで管理コストが大幅に下がります。 以前Klabさんのサーバ管理者向け無精のすすめ ~ちょっと便利なツールの紹介~というエントリで同期ツールの紹介がありましたが、ウノウでも同じような感じの独自ツールを作って同期をとっています。今回はこの同期ツールの紹介をしたいと思います。 僕が shell scripter ということもあってスクリプトは全て sh で。zsh の特殊な記法が使いたかったので zsh で書いています。 凡例 全てのコマンドは最後に対象とするホスト名を指定します。all というは特殊な指定で全てのサーバに対してリクエストが送られます。 共通関数
mizzy.org : /etc/sudoers を LDAP で管理する
/etc/sudoers を LDAP で一元管理とかできないのかなぁ、と思っていたら、ちゃんと対応してた。 利用方法はわりと簡単で、上記リンクの README.LDAP (ソースに同じものが同梱されてる)を見ればすぐわかるけど、一応ここにやったことをメモ。ほとんど README からの抜粋です。 手元の Slackware に元から入っている sudo は LDAP 対応していないので、ここからダウンロード して以下の手順でインストール。 $ ./configure --with-ldap $ make $ sudo make install でもって /etc/ldap.conf に以下の記述を追加。(元々 LDAP は利用していて、基本的な設定はできているので、追加は一行だけ。) sudoers_base ou=SUDOers,o=southpark LDAP 側の設定はまずスキーマ
特権ユーザーの安全性向上を行うsudoの設定例
※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は、sudoの基本的な使い方と例をいくつか紹介した。今回も引き続きsudoを用いたコマンドの利用制限を中心に説明する。 sudoコマンドのおさらい sudoの設定例に入る前に、sudoの基本的な使い方をおさらいしておこう。 sudoコマンドの使い方 前回説明したとおり、sudoの使い方はとてもシンプルで実行するコマンドの前にsudoと入力するだけだ。例えば、/var/log/secureというファイルを特定ユーザーの権限で参照したい場合は、
ORCA-BOX-ENV - sudoersの設定
設定は「sudo visudo」設定確認前には「sudo -k」 sudoを使った直後だとパスワードなしで使えるままなので「sudo -k」で必要ならパスワードをきかれるようにしないと、NOPASSWDの設定がきいているかどうかが確認できない。 /usr/bin/lprmプリンタのジョブ削除のために必要。一般ユーザ権限でもlprm自体は実行できるが、すべてのジョブを完全に削除するにはroot権限が必要。/usr/sbin/orca-box-mirror-system2台目のHDDへのコピーに必要/usr/sbin/orca-box-backup-replaceローカルHDDへのバックアップでデータベースの内容を置き換えるのに必要/usr/bin/orca-box-backup-usb-storageUSB Mass Storage へのバックアップに必要 # /etc/sudoers #
sudo各種設定 -Bash Homepage-
以下のような内容が出てくる。ここに利用できるユーザを加えていく。 (下記内容では太字が追加したユーザ(hogehoge)である。) 操作方法はviコマンドと同じである。 # sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the sudoers man page for the details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL) ALL hogehoge AL
sudo
ref:ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う4つの設定 む。 /etc/sudoers の編集には visudo を使いましょう。文法チェックもしてくれる /etc/shadow の編集には sudo vipw -s としましょう。まぁインストール直後だと問題ないだろうけど su を禁止するのはいいけど、この設定だと sudo -u user -s とか、sudo sh -c su とやってしまえば通過できてしまう。まぁ、su を禁止することで類似する行為をするな、というメッセージにはなるので、まったくの無意味だとは言わないが。sudo で実行したコマンドはログに残るし つうか、半端に一部のユーザに su 出来るようにするのは変でないかい?postgres の権限で実行したいなら % sudo -u postgress commandsで十分。root と
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Vim-users.jp - Hack #48: 一般ユーザで開いてしまったファイルをrootで再度開く