☎ 075-366-8201 月曜日〜金曜日 09:00-17:00

Sisimai
商用サポート

  • 1一式導入・設定・保守・開発の補助
  • 2独自MTA用解析モジュールの開発
  • 3個別案件の対応とメールサポート
  • 4バウンス管理・運用コンサルティング
  • 5スポット解析・解析済みデータ提供

Subrootの特権レベルについて

株式会社キュービックルートが提供するインターネットサーバの外部副管理者サービス

管理者(root)権限を外部に渡すのは不安…

Subroot UNIX系OSにおける管理者権限(root)はいかなる創造も破壊も可能なほど絶大です。 社内の規定やセキュリティポリシー等で定められていなくても、 root権限は容易に外部へ漏らしたり渡したりしてはいけないものです。


勿論、サーバの初期構築やソフトウェアのシステム領域へのインストールにはroot権限が必要 です。しかし、サーバの調査や所見の作成、サーバソフトウェアの構築や設定の確認等 多くの作業はroot権限を必要としません。


本サービスは一般ユーザ権限でログインしてご依頼の作業や調査を行います。 OSによってはroot権限が必要な作業もありますが、その際はお客様の正管理者様に、 弊社から作業とその結果連絡をお願いします。 極力、root権限を外部へ渡す事なくご依頼内容を解決できるよう、本サービスは構成されています。


もちろん、弊社にroot権限を預けていただく品目も用意しております。 一般ユーザ権限およびroot権限の双方において、弊社が知った内容は「Subrootサービス利用規約」 の秘密保持の条項によって保護されますのでご安心ください。

特権についての設定例

Subrootの特権についての設定方法例示

sudoプログラムと/etc/sudoers

下記の実行例を参考に、sudoの設定を行ってください。 Subrootサービス用にご発行いただいた弊社作業用アカウントのユーザ名が "cubicroot"である場合の設定例です。


下記は設定の一例ですので、お客様の管理ポリシーにしたがって設定願います。 sudoによる特権レベル獲得設定を行う事が不可能な場合、 なるべく安全な手段にてお客様サーバのrootアカウントのパスワードを通知してください。

# visudo

中身に下記設定を追記してユーザcubicrootにsudoによるroot特権を与える
cubicroot ALL=(root) ALL

ファイルの読出し権限のみ与える(sudo品目)場合は次の通り
Cmnd_Alias READCMD = /bin/cat, /usr/bin/grep, /usr/bin/less, /usr/bin/view
cubicroot ALL=(root) READCMD

特権についての注意事項

Subrootの特権についての注意事項

setuidプログラム

オペレーティングシステムにインストール時から存在するsetuidビットが設定されたプログラムを除いて、 後から設置された、且つ所有者がroot(uid=0)のsetuidビット設定済シェル(例: tcsh,bash,ksh等)を用いての調査・作業はrootによる調査・作業となり、 基本サービス品目のroot(管理者権限)でのご契約が必要となります。


またuid=0でsetuid設定済のファイル表示プログラム(cat, less, more, grep等)を用いての調査は、 基本サービス品目のroot(管理者権限)のご契約が必要となります。

suプログラム

PostgreSQL等の専用ユーザとして操作・制御しなければならないご依頼内容は、 基本サービス品目のroot(管理者権限)のご契約が必要となります。これは、 suプログラムによって他のユーザとして実行すべきすべての案件・ご依頼内容に適用 されますのでご注意下さい。


ご依頼内容がこの条項に当てはまるかどうか不明な場合は、弊社までお気軽にお問い合わせください。

☎ 075-366-8201 月曜日〜金曜日 09:00-17:00