第3章 ユーザーとグループの管理

ユーザーとグループの制御は、Red Hat Enterprise Linux システムと管理の中核となる要素です。本章は、グラフィカルユーザーインターフェース及びコマンドライン上でユーザーとグループを追加/管理/削除する方法について説明し、パスワードエージングの有効化やグループディレクトリの作成などの高度なトピックを扱います。

3.1. ユーザーとグループの概要

ユーザーは、人 (実在のユーザーに関連するアカウントの意味) か、使用する特定のアプリケーション用に存在するアカウントであるのに対して、グループは共通目的のためにユーザーを統合して組織を論理的に表現したものです。グループ内のユーザーは、そのグループが所有するファイルの読み取り/書き込み/実行を行うことができます。
各ユーザーは、ユーザー ID (UID) と呼ばれる一意の数値型の識別番号に関連付けられています。同様に、各グループは グループ ID (GID) に関連付けられています。ファイルを作成するユーザーは、そのファイルの所有者でありグループ所有者でもあります。ファイルには所有者、グループ、その他に対して読み取り/書き込み/実行のパーミッションが別々に割り当てられます。ファイルの所有者は root のみ変更することができます。アクセスパーミッションは root ユーザーとファイルの所有者とも変更できます。
さらに、Red Hat Enterprise Linux はファイルとディレクトリに対する アクセス制御リスト (ACL) をサポートしています。これにより、所有者以外の特定のユーザーにパーミッションを設定することができます。この機能の詳細については、Storage Administration Guide (ストレージ管理ガイド)Access Control Lists (アクセス制御リスト) の章を参照して下さい。

3.1.1. ユーザープライベートグループ

Red Hat Enterprise Linux では、UPG (ユーザープライベートグループ) スキームを使用するため、UNIX グループを簡単に管理することができます。ユーザープライベートグループは、新規ユーザーがシステムに追加される度に作成されます。ユーザープライベートグループは作成されたユーザーと同じ名前を持ち、そのユーザーがそのユーザープライベートグループの唯一のメンバーです。
ユーザープライベートグループを使用すると、新規作成されたファイルやディレクトリに対し安全にデフォルトのパーミッションを設定することができます。また、ユーザー及び そのユーザーのグループ 双方とも、ファイルやディレクトリを修正できます。
新規作成されたファイルやディレクトリに適用するパーミッションを決定する設定は、umask と呼ばれる /etc/bashrc ファイルで設定されます。従来 UNIX システムでは、umask022 に設定されており、ファイルやディレクトリを作成したユーザーのみが修正できるようになっています。このスキームでは、作成者のグループのメンバーを含め 他のどのユーザーも修正を行うことはできません。一方、UPG スキームではどのユーザーもそれぞれ独自のプライベートグループを持っているため、この グループ保護 は必要ありません。

3.1.2. シャドウパスワード

マルチユーザー環境では、shadow-utils パッケージにより提供される シャドウパスワード を使用することが非常に重要です。これを使用することで、システムの認証ファイルのセキュリティを強化できます。このため、インストールプログラムによりシャドウパスワードはデフォルト設定で有効になっています。
以下は、UNIX ベースシステムでパスワードを格納する従来の方法と比べた場合のシャドウパスワードの利点です。
  • シャドウパスワードは、暗号化されたパスワードハッシュをあらゆるユーザーから読み取り可能な /etc/passwd ファイルから root ユーザーのみが読み取り可能な /etc/shadow に移動することで、システムセキュリティを向上します。
  • シャドウパスワードは、パスワードエージングに関する情報を保存します。
  • シャドウパスワードを使用すると、/etc/login.defs ファイルはセキュリティポリシーを強制できます。
shadow-utils パッケージにより提供される大半のユーティリティは、シャドウパスワードが有効かどうかに関わらず適切に動作します。ただし、パスワードエージングの情報は /etc/shadow ファイルにのみ格納されているため、パスワードエージングの情報を作成/修正するコマンドはいずれも機能しません。以下は、最初にシャドウパスワードを有効にしなければ機能しないユーティリティとコマンドの一覧です。
  • chage ユーティリティ
  • gpasswd ユーティリティ
  • -e または -f オプションを付けた usermod コマンド
  • -e または -f オプションを付けた useradd コマンド