Linuxネタ「pam_wheel.soモジュールの設定」

今年１月２１日に書いたネタ。

---

現在担当しているＷｅｂシステム開発プロジェクトだが、
ＩＡサーバにRedHat Enterprise Linux ES 3.0を乗せたものがターゲット・プラットフォームだ。

12月初旬、本番運用のサーバが顧客のサーバ・センターに設置され、顧客のオープンソース部隊がインターネット向けのセキュア・サーバ化を実施した。
巷ではこういうことを‘要塞化’というらしい。。。

そのサーバで総合テストをやってきたのだが、
ｓｕ（Substitute User）コマンドの使い勝手が悪い。

私のようなインフラ系ＳＥは、オペレーションのエヴィデンスを残すため、ｓｃｒｉｐｔコマンドを用いてTELNETのセッションをログに保存する。
その、ｓｃｒｉｐｔコマンドによるロギング・セッションにおいて、ｓｕコマンドを実行すると必ずパスワード入力を督促され、正しいパスワードを入力しても拒否されるのだ。
しかも、ｒｏｏｔなのに、だ
「なんかおかしい」と直感が働きつつも、他の事に忙殺されて捨て置いていた。

そのうち、
サーバ・センターの運用部隊がF-Secureというウィルス対策ソフトをサーバに導入したのだが、それが起動できないというではないか。

F-Secureが動かない限りはインターネット接続（つまり本番運用サービスが）できない、とのことで、顧客の担当者から「何とかしてよ」と泣きつかれ、
渋々（実は嬉々として）サーバ・センターに出向いた。

検証してみると、
F-SecureはRun Level 3で起動されるようになっているのだが、そこで起動処理がストールするようになっていた。
もっと調べると、標準出力を/dev/nullにリダイレクトする指定のｓｕコマンドの部分でストールしていた。
「あれ、ｓｕの実行結果をリダイレクト出力してる。scriptの不具合と何だか似てるなぁ」と思った。
さらに、ｓｕ実行時に「incorrect password」というメッセージが出ている。
起動処理を実施するｉｎｉｔプロセスはｒｏｏｔだし、あり得ない事象だ。パスワード間違いなんて。。。

どーも、ｓｕコマンドの実行に関する認証の機能がおかしい。
認証はＰＡＭで制御されているが、
そういえば、要塞化の折に‘ｗｈｅｅｌ’ユーザのみｓｕコマンドを実行できるよう設定した、と連絡があった。

ｓｕコマンドのＰＡＭ認証を司る、/etc/pam.d/suファイルを開いて見てみた。
すると、
要塞化作業者が追加した、
　“auth  required  /lib/security/pam_wheel.so  group=wheel”
という行があった。
当ファイルを眺めていると、
「wheelグループだけsuさせたいならこの行を使え」
みたいなコメントがあるぢゃないか。
そこを見ると、
　“auth  required  /lib/security/pam_wheel.so  use_uid”
と書かれている。
"use_uid"オプションって、ナンダァ？

何かヒントでも得られないものかとグーグル神に検索をお願い奉ると、
pam_wheelモジュールに関するバグのレポートが降臨あそばされた。
バ、バグ？！

はた、と思いつき、
以下のように設定してみた。
　“auth required /lib/security/pam_wheel.so  use_uid  group=wheel”
すると。

おぉ、ｓｃｒｉｐｔによるロギング・セッション内でｓｕコマンドが使えるぢゃん。
F-Secureも起動するぢゃん。
wheelグループに属するユーザだけｓｕできるのも有効。
バッチリぢゃん。

 

ということで、動いたので、これで由（よし）とする。
"use_uid"オプションがどんな意味かなんて、暇になってから調べよう。
（きっと、永遠に調べない）