1.Linuxのrootユーザーとは?
Windowsの管理者権限をAdministratorというようにLinux の管理者権限をrootと呼びます。 rootユーザーはLinuxにおける管理者です。 Linuxの管理者であるrootユーザーはLinuxシステムを自由に編集、操作することができます。 そのためセキュリティ上、一番守る必要があります。 rootユーザーの権限が悪意のある第三者に渡ってしまわないために、rootユーザーのパスワード管理は大変重要です。しかし、Linuxの通常業務において一般ユーザーにrootのパスワードを開示したり、root権限を貸し出す場面が存在します。 貸し出したり、開示することでrootのパスワードを変更する必要があります。 rootアカウントのパスワード変更が必要になる代表的なケースは、以下のとおりです。
- セキュリティ上の理由でパスワードを定期的に更新している
- パスワードを忘れてしまった
- 外部の会社に作業を依頼しており、パスワードを開示していた
- システム開発のために、情報システム部門にパスワードを共有していた
- root権限のないユーザーがパッケージをインストールする必要があり、パスワードを一時的に貸し出していた
このように、rootはLinuxシステムに対して強い権限を持っているので、 構築の際やファイルの所有権を変更する際にroot権限の付与やパスワードを共有し、その後変更する必要がある場合があります。 上記のようなケースでパスワードを変更することは、リスクからrootを守るために行う必要があります。
2.そのrootのパスワード共有、変更方法本当に安全?
前述したように、構築の際にベンダーにLinuxサーバーのroot権限の付与、パスワードを共有、一般ユーザーにrootのパスワードを教えたりする場面が存在します。 上記のケースは通常業務を行う上で、一定量存在します。 しかし、root権限を貸し出したり、一般ユーザーに一時的にrootユーザーのパスワードを開示することに不安を抱えている管理者も存在します。 実際、権限を付与した先のユーザーが悪意を持っている場合、情報漏洩させたり、システムを破壊することも可能です。
一般的に、ユーザーのパスワードを変更する際には「passwd」コマンドを使用します。 オプションを指定しない場合は、「passwd ユーザー名」となります。
rootのパスワードを変更する場合、root権限が必要になります。
root権限を持っていない場合、「su」コマンドを使用します。 しかし、「su」コマンドを使用するにはrootのパスワードを入力する必要があります。 rootのパスワードはセキュアに管理すべきです。しかしパスワードを変更する際には必要になってしまいます。
よりセキュアにLinuxのroot権限を管理するために、特権ID管理システムを使用してみませんか
3.セキュアにLinuxのパスワードを変更する方法
弊社ManageEngineが提供しています、Password Manager Proという特権ID管理システムを利用することで、Linuxのroot権限を安全に管理、運用を行うことが可能になります。 また、分かりやすいパスワードをお使いの場合には、攻撃によって突破されてしまう可能性があります。 したがって、必要なユーザを追加して鍵認証のようなシステムを導入し、 そのユーザからの限定的なアクセスのみを受け付けるような環境を整えることも可能です。
特権ID管理システムを使用することで、GUI上からそれらの再設定、変更が可能になります。rootのパスワードを開示することなく、共有できるので、root権限を貸し出した後にパスワードを変更する必要がなくなり、管理者の工数削減にも繋がります。
Linuxのrootユーザーのパスワードを守る機能紹介
以下の機能ご使用いただくことで、Linuxのrootユーザーのパスワード強化や安全に管理を行うことができます。
- パスワード非表示:Password Manager Proを踏み台としてLinuxに接続することで、申請者にパスワードを見せずにログオンさせる事が可能です。
- パスワード変更:Password Manager ProのWeb画面を通じて、リモートからリアルタイムにLinuxのパスワードを変更することが可能です。
- パスワードポリシーの設定:Password Manager Proでは、管理者がパスワードに関するポリシーを設定できます。