タイトル: sudo ユーザー指定
SEOタイトル: Linux sudo コマンド完全ガイド (-u / -i / sudoers / NOPASSWD)
| この記事の要点 |
|
sudo の基本
sudo(superuser do)は、許可されたユーザーが一時的に別ユーザー権限でコマンドを実行するためのツールです。root への直接ログインを避け、操作ログを /var/log/auth.log に残せるため、セキュリティ的に必須の仕組み。
# 基本: root としてコマンド実行
sudo apt update
# 別ユーザーとして実行(root 以外)
sudo -u www-data php artisan migrate
sudo -u postgres psql
# シェルを root で開く(ログインシェル)
sudo -i
# または
sudo su -
# 非ログインシェル
sudo -s
# 環境変数を保持
sudo -E env | grep PATH主要オプション
| オプション | 意味 |
|---|---|
-u user | 指定ユーザーとして実行(既定 root) |
-g group | 指定グループで実行 |
-i | ログインシェル起動(.bash_profile 読込) |
-s | シェル起動(環境保持) |
-E | 環境変数を保持 |
-H | HOME を対象ユーザーのものに |
-k | キャッシュされたパスワード破棄 |
-K | キャッシュを完全消去 |
-v | パスワード入力なしで認証期限を延長 |
-l | 自分が実行できる sudo を一覧 |
-b | バックグラウンド実行 |
別ユーザーで実行(-u)
# Web サーバユーザーで Laravel コマンド
sudo -u www-data php artisan migrate
sudo -u www-data php artisan cache:clear
# PostgreSQL の管理ユーザーで psql
sudo -u postgres psql
sudo -u postgres createuser myapp
# 他人のアカウントでテスト(要 sudoers 許可)
sudo -u taro -i
# UID で指定も可
sudo -u '#1001' commandログインシェルで root に
# sudo -i : root のログインシェル
sudo -i
# → /root に cd、root の .bash_profile 読み込み
# sudo su -
sudo su -
# → 同上
# sudo -s : 自分のシェルを root 化
sudo -s
# → 現在ディレクトリのまま、自分の .bashrc
# 違いまとめ
# sudo -i : HOME=/root, 環境クリーン ← 推奨
# sudo -s : HOME=自分, 環境継承
# sudo su : HOME=自分, 環境継承(古い)
# sudo su -: HOME=/root, 環境クリーンsudoers ファイルの編集(visudo)
/etc/sudoers を直接 vi で編集してはいけません。構文エラーがあると sudo が機能しなくなり、root にログインできなくなる事故が起きます:
# 必ず visudo を使う(構文チェック付き)
sudo visudo
# 別ファイル(推奨)
sudo visudo -f /etc/sudoers.d/myrule
# 構文だけチェック
sudo visudo -csudoers の書式
# /etc/sudoers の文法
# ユーザー ホスト=(実行ユーザー:グループ) [タグ:]コマンド
# root はどこでも全コマンド OK
root ALL=(ALL:ALL) ALL
# sudo グループ全員、全コマンド許可
%sudo ALL=(ALL:ALL) ALL
# wheel グループ(RHEL 系)
%wheel ALL=(ALL) ALL
# 特定ユーザーに特定コマンドだけ許可
deploy ALL=(www-data) NOPASSWD: /usr/bin/php /var/www/artisan *
# 複数コマンドを許可
backup ALL=(root) NOPASSWD: /usr/bin/rsync, /bin/tar
# 特定ホストのみ
admin webserver=(ALL) ALL
admin dbserver=(ALL) ALL
# パスワードなし
deploy ALL=(ALL) NOPASSWD: ALL # ← セキュリティ要注意
# パスワード必須に逆指定
deploy ALL=(ALL) PASSWD: /bin/rmNOPASSWD(パスワード省略)
# /etc/sudoers.d/deploy
deploy ALL=(ALL) NOPASSWD: ALL
# 限定的な NOPASSWD(推奨)
deploy ALL=(www-data) NOPASSWD: \
/usr/bin/systemctl restart nginx, \
/usr/bin/systemctl reload nginx, \
/usr/bin/php /var/www/artisan *
# 確認: 自分が NOPASSWD で実行できるコマンド
sudo -l
# (root) NOPASSWD: /usr/bin/systemctl restart nginxDefaults 設定
# /etc/sudoers 内の Defaults
# パスワードキャッシュ時間(分)
Defaults timestamp_timeout=15 # 既定 15 分
Defaults timestamp_timeout=0 # 毎回確認
Defaults timestamp_timeout=-1 # キャッシュ無効化
# 環境変数の引継ぎ
Defaults env_keep += "PATH HOME LANG"
# secure_path(sudo 実行時の PATH)
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
# ログ出力先
Defaults logfile=/var/log/sudo.log
# tty が必要(リモートツール許容のため無効化したい場合)
# Defaults requiretty # 既定無効
Defaults !requiretty # 明示無効
# !authenticate(特定ルールでパスワード要求しない)
deploy ALL=(ALL) NOPASSWD: ALL
# または
deploy ALL=(ALL) !authenticate: ALLユーザーを sudo グループに追加
# Ubuntu / Debian
sudo usermod -aG sudo username
# RHEL / CentOS / Rocky
sudo usermod -aG wheel username
# 確認
groups username
id username
# 反映には再ログイン必要
# またはセッション内で
newgrp sudoログ確認
# Ubuntu / Debian
sudo tail -f /var/log/auth.log | grep sudo
# RHEL 系
sudo tail -f /var/log/secure | grep sudo
# journalctl 経由(systemd)
sudo journalctl -u sudo --since today
sudo journalctl | grep COMMAND
# 典型ログ
# Mar 15 10:23:45 host sudo: user : TTY=pts/0 ; PWD=/home/user ;
# USER=root ; COMMAND=/usr/bin/apt update便利テクニック
# 1. 直前のコマンドに sudo を付け足し
mkdir /etc/myconfig
# Permission denied
sudo !!
# → sudo mkdir /etc/myconfig
# 2. パイプの先に sudo
ls | sudo tee /etc/log.txt # 書込側に sudo
echo "127.0.0.1 host" | sudo tee -a /etc/hosts
# 3. sudo で複数コマンド
sudo bash -c 'cd /var/log && rm *.log && systemctl restart nginx'
# 4. ヒアドキュメント
sudo tee /etc/myconfig.conf > /dev/null <<EOF
key1=value1
key2=value2
EOF
# 5. パスワードプロンプトをカスタム
Defaults passprompt="[%u] パスワード: "セキュリティのベストプラクティス
- root SSH ログインを無効化:
/etc/ssh/sshd_configでPermitRootLogin no - NOPASSWD は最小コマンドだけに限定。
NOPASSWD: ALLは実質 root 鍵渡し - sudo グループ参加者を定期監査:
getent group sudo - sudoers.d/ にファイル分割。デプロイ・運用・CI で別ファイル
- visudo 必須。
visudo -cで本番反映前に構文確認 - auth.log を集中ログ管理(rsyslog / Fluentd / CloudWatch Logs)へ転送
FAQ
Q: sudo がパスワードを毎回聞く
A: timestamp_timeout=0 設定の可能性。または異なるターミナルごとに別キャッシュ。Defaults !tty_tickets で全 TTY 共有可能。
Q: sudoers を壊して sudo が使えない
A: シングルユーザーモード(grub で init=/bin/bash)かレスキューモードで起動 → mount -o rw,remount / → visudo -c で修正。
Q: sudo su - と sudo -i、どちらを使う?
A: sudo -i 推奨。su は古く、PAM 設定差で挙動が違うことがあります。
Q: doas は使うべき?
A: OpenBSD 発祥の軽量 sudo 代替。シンプルで監査しやすい一方、機能は限定的。Linux でも使えるが、エコシステム的には sudo がデファクト。