Sudo権限
デフォルトでは、Unixオペレーティングシステムは、base-usersとadminsの2種類のユーザーロールを定義します。Sudo権限により、管理者はLinuxシステムで利用できるよりはるかに詳細な権限レベルを利用でき、これによって、ベースユーザーに管理者が保持するレベルの権限を付与することなく、特定のSudoコマンドの使用をベースユーザーに許可することができます。Sudo権限は、Advanced Server Accessの管理者に階層化された権限体系を提供します。これを利用することで、管理者はユーザーが実行できる正確なコマンドを指定できます。
Sudo権限のタイプ
Sudo権限には次の3つのタイプがあります。
- raw(未加工) - このタイプのSudo権限により、ユーザーは、管理者がSudo権限の作成時に定義した正確なコマンドのみを実行することができます。管理者は使用するコマンドとして任意の入力を提供できます。ユーザーは、いかなる方法でもコマンドを変更することはできません。
- directory (ディレクトリ) - このタイプのSudo権限により、ユーザーは、管理者がSudo権限の作成時に定義したディレクトリ内のあらゆるコマンドを実行することができます。これは、/で定義されたルートディレクトリを含む、/文字で開始および終了する文字列で定義されたあらゆるリーガルUNIXディレクトリです。
- executable(実行可能) - このタイプのSudo権限により、ユーザーは、管理者がSudo権限の作成時に定義した実行可能なコマンドを実行することができます。管理者は、このコマンドが任意の引数を受け入れる、引数を受け入れない、または特定の引数のみ受け入れるのいずれかを選択できます。このコマンドは、/文字から始まる文字列によって定義されたリーガルUNIXパスである必要があります。
Sudo権限ルール
Sudo権限は次のルールに従います。
- Sudo権限を作成できるのは、Advanced Server Accessの管理者のみです。
- 各権限は少なくとも1つのコマンドで構成されます。
- rawおよびdirectoryのSudo権限では、追加の引数を指定できません。
- Sudo権限コマンドを実行するには、バイナリの完全なディレクトリパスを指定する必要があります。
- Sudo権限の名前には、スペースを除くすべての英数文字を使用できます。
- Sudo権限の説明には、英数文字の任意の組み合わせを含めることができます。