sudoersの設定

アプリケーションで利用しているアカウントでsudoができるように設定。設定ファイルは/etc/sudoersですが、visudoってなこまんで編集。以下の一行を追加。

hoge ALL=(ALL) ALL,!/usr/bin/su

RHELの場合、デフォルトの/etc/sudoersには各種クリティカルなコマンド(ネットワーク設定とか、サービスコントロールとか)がアライアスされているのでそれのコメントアウトを外して制限してもいいかも。上記例で/usr/bin/suを禁止しているのは、sudoでsu - されるとrootになれちゃうから。

ログの設定

sudoのログを別に取るように設定。もう一回visudoで以下を追加。

##
## syslog settings
##
Defaults syslog=local3

rsyslogの設定を追加。/etc/rsyslog.confに以下を追加。

local3.*        /var/log/sudo

rsyslogを再起動。

# systemctl restart rsyslog