Product SiteDocumentation Site

8.4. ユーザとグループのデータベース

The list of users is usually stored in the /etc/passwd file, while the /etc/shadow file stores hashed passwords. Both are text files, in a relatively simple format, which can be read and modified with a text editor. Each user is listed there on a line with several fields separated with a colon (“:”).

NOTE システムファイルの編集

この章で述べるシステムファイルはすべてプレーンテキストファイルで、テキストエディタを使って編集することが可能です。システムファイルが中核システムの機能性に対して重要な役割を担っている点を考慮すると、システムファイルを編集する際に特別な注意を払うことはどんな場合でも良い考えです。最初に、システムファイルを開くか変更する前には必ず、そのコピーかバックアップを作ってください。2 番目に、潜在的に 1 人以上が同じファイルに同時にアクセスする可能性のあるサーバおよびマシンでは、ファイルの破壊を防ぐために特別な手順を踏んでください。
この目的を達成するには、/etc/passwd ファイルを編集する際に vipw コマンドを使ったり /etc/group ファイルを編集する際に vigr コマンドを使ったりするだけで十分です。これらのコマンドはテキストエディタ (デフォルトで vi。エディタを設定するには EDITOR 環境変数を使います) を実行する前に対象のファイルをロックします。これらのコマンドに -s オプションを付けることで、対応する shadow ファイルを編集することも可能です。

BACK TO BASICS crypt、一方向性関数

crypt は一方向性関数で、ある文字列 (A) を別の文字列 (B) に変換します。変換の際には B から A を得ることが不可能な方法を使います。A を得るにはすべての可能性をテストするしかありません。テストは各可能性を crypt で変換して得られた結果が B か否かで判断されます。crypt は入力 (文字列 A) として 8 文字目までを受け付け、13 文字の表示できる ASCII 文字 (文字列 B) を生成します。

8.4.1. ユーザリスト、/etc/passwd

以下は /etc/passwd ファイルに含まれるフィールドのリストです。
  • ログイン名。これはたとえば rhertzog です。
  • password: this is a password encrypted by a one-way function (crypt), relying on DES, MD5, SHA-256 or SHA-512. The special value “x” indicates that the encrypted password is stored in /etc/shadow;
  • uid。これは各ユーザを識別する一意的な番号です。
  • gid。これはユーザのメイングループを示す一意的な番号です (Debian はデフォルトで各ユーザに固有のグループを作成します)。
  • GECOS。通常これはユーザの氏名を含むデータフィールドです。
  • ログインディレクトリ。これはユーザが個人ファイルを保存するために割り当てられたディレクトリです (環境変数 $HOME は通常このディレクトリを指します)。
  • ログイン時に実行されるプログラム。通常これはユーザに行動の自由を与えるコマンドインタプリタ (シェル) です。/bin/false (何もせずすぐにコントロールを返すプログラム) が指定された場合、ユーザはログインできません。
As mentioned before, one can edit this file directly. But there are more elegant ways to apply changes, which are described in 第 8.4.3 節「既存のアカウントやパスワードの変更」.

BACK TO BASICS Unix グループ

Unix グループには複数のユーザが所属します。ユーザは統合されたパーミッションシステムを使って簡単にファイルを共有できます (あるグループに所属するユーザはそのグループに与えられた権限を執行できます)。また、あるプログラムの使用を特定のグループに制限することも可能です。

8.4.2. 隠された暗号化パスワードファイル、/etc/shadow

/etc/shadow ファイルには以下のフィールドが含まれます。
  • ログイン名。
  • 暗号化されたパスワード。
  • パスワードの有効期限を管理するいくつかのフィールド。
One can expire passwords using this file or set the time until the account is disabled after the password has expired.

SECURITY /etc/shadow ファイルのセキュリティ

/etc/shadow, unlike its alter-ego, /etc/passwd, cannot be read by regular users. Any hashed password stored in /etc/passwd is readable by anybody; a cracker could try to “break” (or reveal) a password by one of several “brute force” methods which, simply put, guess at commonly used combinations of characters. This attack — called a "dictionary attack" — is no longer possible on systems using /etc/shadow.

DOCUMENTATION /etc/passwd/etc/shadow/etc/group ファイルのフォーマット

These formats are documented in the following man pages: passwd(5), shadow(5), and group(5).

8.4.3. 既存のアカウントやパスワードの変更

The following commands allow modification of the information stored in specific fields of the user databases: passwd permits a regular user to change their password, which in turn, updates the /etc/shadow file (chpasswd allows administrators to update passwords for a list of users in batch mode); chfn (CHange Full Name), reserved for the super-user (root), modifies the GECOS field. chsh (CHange SHell) allows the user to change their login shell; however, available choices will be limited to those listed in /etc/shells; the administrator, on the other hand, is not bound by this restriction and can set the shell to any program of their choosing.
最後に、chage (CHange AGE) コマンドを使うと、管理者はパスワードの有効期限設定を変更できます (-l user オプションで現在の設定を表示します)。passwd -e user コマンドを使うと、パスワードを強制的に失効させることが可能です。ユーザは次回のログイン時にパスワード変更を要求されます。
Besides these tools the usermod command allows to modify all the details mentioned above.

8.4.4. アカウントの失効

You may find yourself needing to “disable an account” (lock out a user), as a disciplinary measure, for the purposes of an investigation, or simply in the event of a prolonged or definitive absence of a user. A disabled account means the user cannot login or gain access to the machine. The account remains intact on the machine and no files or data are deleted; it is simply inaccessible. This is accomplished by using the command passwd -l user (lock). Re-enabling the account is done in similar fashion, with the -u option (unlock). This, however, only prevents password-based logins by the user. The user might still be able to access the system using an SSH key (if configured). To prevent even this possibility you have to expire the account as well using either chage -E 1user or usermod -e 1 user (giving a value of -1 in either of these commands will reset the expiration date to never). To (temporarily) disable all user accounts just create the file /etc/nologin.
You can disable a user account not only by locking it as described above, but also by changing its default login shell (chsh -s shell user). With the latter changed to /usr/sbin/nologin, a user gets a polite message informing that a login is not possible, while /bin/false just exits while returning false. There is no switch to restore the previous shell. You have to get and keep that information before you change the setting. These shells are often used for system users which do not require any login availability.

GOING FURTHER NSS とシステムデータベース

ユーザやグループのリストを管理する際に適切な NSS (Name Service Switch) モジュールを使えば、通常のファイルを使う代わりに LDAP や db などの他の種類のデータベースを使うことも可能です。/etc/nsswitch.conf ファイルの passwdshadowgroup エントリにはデータベースとして使われるモジュールがリストされています。LDAP で NSS モジュールを使う方法の具体例は第 11.7.3.1 節「NSS の設定」をご覧ください。

8.4.5. グループリスト、/etc/group

グループは /etc/group ファイルにリストされています。/etc/group ファイルは単純なテキストデータベースで、フォーマットは /etc/passwd ファイルとよく似ており、以下のフィールドを持っています。
  • グループ名。
  • パスワード (任意)。これはグループメンバーでないユーザがそのグループに参加する際に使われます (newgrp および sg コマンドを使います。補注BACK TO BASICS 複数のグループに所属する」を参照してください)。
  • gid。これはグループを識別する一意的な番号です。
  • メンバーのリスト。これはグループに所属するユーザ名のコンマ区切りリストです。

BACK TO BASICS 複数のグループに所属する

ユーザは複数のグループに所属することが可能です。そして所属グループの 1 つが「メイングループ」です。ユーザのメイングループはデフォルトで最初のユーザ設定中に作成されます。デフォルトで、ユーザが作成したファイルは本人とそのメイングループの所有物になります。この状態が望ましくない場合もあります。たとえば、ユーザが自分のメイングループではないグループ用に共有されたディレクトリ内で仕事をする必要がある場合を考えてみましょう。この場合、ユーザは以下のコマンドのどちらかを使ってメイングループを変更する必要があります。具体的に言えば、新しいシェルを開始する newgrp か、与えられた別グループでコマンドを実行する sg を使う必要があります。これらのコマンドを使うと、ユーザは自分が所属していないグループに参加することが可能です。グループがパスワードで保護されていた場合、ユーザはコマンドを実行する前に適切なパスワードを入力する必要があります。
別の方法として、ディレクトリに setgid ビットを設定することが可能です。こうすることで、そのディレクトリの下に作成されたファイルのグループを自動的に適切なものにすることが可能です。詳細は補注SECURITY setgid ディレクトリとスティッキービットをご覧ください。
id コマンドはユーザのユーザ名 (uid 変数)、現在のメイングループ (gid 変数)、所属するグループのリスト (groups 変数) を表示します。
addgroup コマンドはグループを追加、delgroup コマンドはグループを削除します。groupmod コマンドは指定したグループの情報 (gid またはグループ名など) を変更します。gpasswd groupgroup で指定したグループのパスワードを変更し、一方で gpasswd -r group コマンドは group で指定したグループを削除します。

TIP getent

getent (get entries) コマンドは、適当なライブラリ関数を使い /etc/nsswitch.conf ファイルで設定された NSS モジュールを呼び出すという標準的な方法で、システムデータベースを確認します。getent コマンドは 1 つか 2 つの引数を取ります。具体的に言えば、引数としてデータベースの名前と検索キーを取ります。そんなわけで、getent passwd rhertzog コマンドはユーザデータベースから rhertzog ユーザに関する情報を表示します。