手当たり次第に書くんだ

飽きっぽいのは本能

Ubuntu 26.04 sudo ユーザーの作成 – 管理ユーザーと sudoers を設定する

関連する記事

Ubuntu 26.04 でサーバーを管理する場合、日常作業用の管理ユーザーを作り、必要な範囲で sudo を使えるようにします。root で直接作業し続けるのではなく、誰がどの権限で操作するかを確認できる形にしておくことが大切です。

この記事では、管理ユーザー作成、sudo グループ、/etc/sudoers.dvisudo による検証、SSH 公開鍵、sudo 動作確認、ログ確認を扱います。

現在のユーザーと sudo 設定を確認する

まず現在のユーザー、所属グループ、sudo の状態を確認します。

whoami
id
groups
sudo -v
sudo -l

管理ユーザーを作成する

管理用ユーザーを作成し、必要な基本情報を確認します。ユーザー名は環境に合わせて置き換えます。

sudo adduser myadmin
id myadmin
getent passwd myadmin

sudo グループへ追加する

Ubuntu では sudo グループに所属するユーザーが sudo を使える構成が一般的です。追加後は新しいログインセッションで確認します。

sudo usermod -aG sudo myadmin
getent group sudo
id myadmin

sudoers.d で個別設定を追加する

管理ユーザーごとのルールを分けたい場合は /etc/sudoers.d に専用ファイルを置きます。構文エラーを避けるため、作成後に visudo -cf で検証します。

sudo tee /etc/sudoers.d/90-myadmin >/dev/null <<'EOF'
myadmin ALL=(ALL:ALL) ALL
EOF
sudo chmod 0440 /etc/sudoers.d/90-myadmin
sudo visudo -cf /etc/sudoers.d/90-myadmin

パスワードなし sudo の扱い

自動化や検証環境でパスワードなし sudo を使う場合は、対象ユーザーと用途を限定します。本番環境では監査性と運用方針を確認してから使います。

sudo tee /etc/sudoers.d/91-myadmin-nopasswd >/dev/null <<'EOF'
myadmin ALL=(ALL:ALL) NOPASSWD:ALL
EOF
sudo chmod 0440 /etc/sudoers.d/91-myadmin-nopasswd
sudo visudo -cf /etc/sudoers.d/91-myadmin-nopasswd

sudoers の構文を検証する

sudoers の構文エラーは管理不能につながるため、追加ファイルだけでなく全体も検証します。

sudo visudo -c
sudo visudo -cf /etc/sudoers
sudo find /etc/sudoers.d -type f -maxdepth 1 -print -exec sudo visudo -cf {} \;

SSH 公開鍵を配置する

SSH で管理ユーザーへログインする場合は、公開鍵を authorized_keys に配置し、所有者と権限を確認します。

sudo install -d -o myadmin -g myadmin -m 0700 /home/myadmin/.ssh
sudo tee /home/myadmin/.ssh/authorized_keys >/dev/null <<'EOF'
ssh-ed25519 AAAAexample public-key-comment
EOF
sudo chown myadmin:myadmin /home/myadmin/.ssh/authorized_keys
sudo chmod 0600 /home/myadmin/.ssh/authorized_keys
sudo ls -ld /home/myadmin/.ssh
sudo ls -l /home/myadmin/.ssh/authorized_keys

ログイン後に sudo を確認する

新しい SSH セッションで管理ユーザーとしてログインし、sudo の実行可否と権限範囲を確認します。

whoami
id
sudo -v
sudo -l
sudo systemctl status ssh.service --no-pager

sudo のログを確認する

sudo の利用状況は認証ログや journal で確認します。運用では、誰がいつ sudo を使ったか追えることが重要です。

sudo grep 'sudo:' /var/log/auth.log | tail -n 50
journalctl _COMM=sudo -b --no-pager
journalctl _COMM=sudo --since '24 hours ago' --no-pager

管理ユーザーを無効化する

退職や権限変更などで管理ユーザーを止める場合は、ロック、sudoers 削除、SSH 鍵削除を分けて確認します。

sudo passwd -l myadmin
sudo rm -f /etc/sudoers.d/90-myadmin /etc/sudoers.d/91-myadmin-nopasswd
sudo rm -f /home/myadmin/.ssh/authorized_keys
sudo visudo -c

確認項目

  • 管理ユーザーが作成されているか。
  • sudo グループまたは sudoers.d で権限が明示されているか。
  • sudoers の構文を visudo で検証しているか。
  • SSH 鍵の所有者と権限が正しいか。
  • 新しいログインセッションで sudo を確認しているか。
  • sudo の利用ログを確認できるか。

まとめ

Ubuntu 26.04 の sudo ユーザー管理では、ユーザー作成、sudo 権限、SSH 鍵、sudoers 構文検証、ログ確認を一連の手順として扱います。管理ユーザーの権限を明示し、visudo とログ確認まで行うことで、日常運用と障害対応の安全性を高めやすくなります。

関連する記事
Ubuntu 26.04 sudo ユーザーの作成 – 管理ユーザーと sudoers を設定する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

トップへ戻る