メモ: FreeBSDでsuを使うにはユーザをwheelグループに所属させる
FreeBSDの一般ユーザで、suコマンドを使ってrootとして振舞うには、あらかじめrootログインした状態で/etc/groupファイルを編集し、そのユーザをwheelグループに加えておく。
(例)一般ユーザがhogeなら、次のようにする。
vi /etc/group (変更前) wheel:*:0:root (変更後) wheel:*:0:root,hoge
それならば、当該の一般ユーザを作成する際に、グループをwheelにしておけばよいのかというと、それは良くないらしい。
wheel グループに入っているスタッフメンバは su を使って root になることが許されます。 パスワードエントリにおいて、スタッフメンバを wheel グループに置くことによって直接 wheel 権限を与えてはいけません。スタッフメンバのアカウントは staff グループに所属させるべきで、その上で /etc/group ファイルを通して wheel グループに加えるべきです。
14.3. FreeBSD の安全性を高める
文中の"パスワードエントリ"とは、/etc/passwdファイルを指す。ユーザ名やグループ、使用するシェルなどの設定情報が、1ユーザ1行で書かれている。
passwdで一般ユーザのグループをwheelに指定するのではなく、あくまでも/etc/groupファイルを編集する方法で、suコマンドを使用させたいユーザをwheelグループに所属させるのが正しい。
# Fedoraのように、/etc/sudoersを編集すればrootになれると思ったら違ったので、メモしておきます。