ユーザとグループの一覧情報の非表示

Submitted by yamaf on 木曜, 2010-06-03 03:11
webminへのメールアカウント追加用にusermgrという管理アカウント を作成しました。 対象の管理アカウントには、メールアカウントの登録 及び削除の作業を行っています。 登録及び作業時に webmin ユーザとグループの一覧情報が表示されますが、 対象アカウントに必要外のユーザ情報(root,bin,daemon等のローカルユーザ) を見せたくありません。(設定の変更や削除を行わせたくない) 特定の管理用アカウントにユーザとグループの一覧上のユーザ、グループ情報を 表示させなくする様な設定が有ればお教え頂けませんでしょうか。
‹ Usermin の「パスワードの変更」条件について Usermin パスワード変更履歴について ›

アクセス制御

Submitted by Hiroshi Miura on 月曜, 2010-06-07 10:52.
ユーザのアクセス権限を設定することで、お望みのことができます。 設定方法にあるように、
  1. Webminユーザモジュールで、usermgrユーザの名前の隣にある、「ユーザとグループ」をクリックします。そして、WebminUsersで実施できるアクセス制御ができます。
  2. " Can edit module configuration? "(モジュール設定を変更できるか)欄をNOにします。
  3. ”The Unix users who can be edited ”欄で、Webminから変更できるユーザを制御できるようになります。典型的には、UIDの範囲でユーザを指定します。
  4. ユーザ追加できるようにするには、”Can create new users? ”(新しいUNIXユーザを追加できるか)欄をYes
  5. "Can view batch file form? "オプションをNoにします。Webminユーザが、通常不要なバッチスクリプトでユーザを作ったり、編集できないようにします。
  6. ”UIDs for new and modified users ”欄に、ステップ4と同じUIDを指定します。
  7. " More than one user can have the same UID "(おなじUIDを複数のユーザがもてる)のチェックを外します。しかし、変更できる既存ユーザのUIDは残しておきます。信頼できないサブ管理者は、通常複数のユーザが同じUIDを持たせるようにさせるべきではないです。
  8. ”Allowed groups for new or modified users ”欄に、たいていは”Only groups”オプションを選択肢、新規ユーザがメンバーになるグループ名を入れます。"All groups"のままにすると、ルートユーザを作れることになって、セキュリティリスクになるでしょう。” The Groups with GIDs ”を選択して、GIDの範囲を指定するのもよい考えです。
  9. 新規ユーザのシェルを制限するのに、”Allowed shells for new or modifed users to Listed ”をチェックして、シェルのパスを入力します.ログインさせたくない場合は/bin/falseを指定するといいでしょう。
  10. ホームディレクトリの設定は、注意した方がいいでしょう。サブ管理者がほかの既存ユーザのホームディレクトリのパスを替えることができるから。/home/guests/hoge のように、パスをきっておけば、このような事態にならないでしょう。
  11. Webminユーザが編集可能なグループには、No Groupsを指定してグループ編集ができなくしたほうがいいでしょう
  12. ユーザが最近のログインについて見えないようにしたいときは、”Can display logins by”欄を変更しましょう。lastコマンドが実行できてしまうと、セキュアとはいえません。
  13. 最後に保存をクリックします。