Red Hat Training

A Red Hat training course is available for RHEL 8

第11章 ユーザーおよびグループの管理

ファイルやプロセスへの不正アクセスを防止するには、ユーザーとグループを正確に管理する必要があります。アカウントを一元管理していない場合、または特定のシステム上でのみユーザーアカウントやグループが必要な場合は、そのホスト上でローカルにユーザーアカウントやグループを作成できます。

11.1. ユーザーアカウントおよびグループアカウントの管理の概要

ユーザーとグループの制御は、Red Hat Enterprise Linux (RHEL) システム管理の中核となる要素です。各 RHEL ユーザーには各種ログイン認証情報があり、さまざまなグループに割り当ててシステム権限をカスタマイズすることができます。

11.1.1. ユーザーとグループの概要

ファイルを作成するユーザーは、そのファイルの所有者 および グループ所有者です。ファイルには、所有者、グループ、およびそのグループ外のユーザーに対して読み取り、書き込み、実行のパーミッションが別々に割り当てられます。ファイルの所有者は、root ユーザーのみが変更できます。ファイルへのアクセス権限を変更できるのは、root ユーザー、ファイル所有者の両方です。通常ユーザーは、所有するファイルのグループ所有権を、所属するグループに変更できます。

各ユーザーは、ユーザー ID (UID) と呼ばれる一意の数値 ID に関連付けられています。各グループは グループ ID (GID) に関連付けられています。グループ内のユーザーは、そのグループが所有するファイルの読み取り、書き込み、実行を行う権限を共有します。

11.1.2. 予約ユーザーおよびグループ ID の設定

RHEL は、999 以下のユーザー ID とグループ ID をシステムユーザーとグループ用に予約しています。予約ユーザー ID とグループ ID は、setup パッケージで確認できます。予約ユーザー ID とグループ ID を表示するには、以下を使用します。

cat /usr/share/doc/setup*/uidgid

予約範囲は今後増える可能性があるため、新規ユーザーおよびグループには、5000 以降の ID を割り当てることを推奨します。

デフォルトで新規ユーザーに割り当てる ID を 5000 以降に指定するには、/etc/login.defs ファイルの UID_MINGID_MIN パラメーターを変更します。

手順

デフォルトで新規ユーザーに割り当てる ID を 5000 以降にするには、以下のコマンドを実行します。

  1. 任意のエディターで /etc/login.defs ファイルを開きます。
  2. UID の自動選択の最小値を定義する行を見つけます。

    # Min/max values for automatic uid selection in useradd
    #
    UID_MIN                  1000
  3. UID_MIN の値を 5000 から開始するように変更します。

    # Min/max values for automatic uid selection in useradd
    #
    UID_MIN                  5000
  4. GID の自動選択の最小値を定義する行を見つけます。

    # Min/max values for automatic gid selection in groupadd
    #
    GID_MIN                  1000
  5. GID_MIN の値を 5000 から開始するように変更します。

    # Min/max values for automatic gid selection in groupadd
    #
    GID_MIN                  5000

    通常のユーザーに動的に割り当てられる UID と GID は、5000 から始まります。

    注記

    UID_MIN および GID_MIN の値を変更する前に作成された UID および GID のユーザーおよびグループは変更されません。

    これにより、新規ユーザーのグループに UID および GID と同じ 5000+ ID を持たせることができます。

    警告

    上限が 1000 のシステムとの競合を回避するため、SYS_UID_MAX を変更して、システムが予約している ID を 1000 以上にしないようにしてください。

11.1.3. ユーザープライベートグループ

RHEL は、ユーザープライベートグループ (UPG) システム設定を使用するため、UNIX グループの管理が容易になります。ユーザープライベートグループは、新規ユーザーがシステムに追加されるたびに作成されます。ユーザープライベートグループは作成したユーザーと同じ名前となり、そのユーザーがそのユーザープライベートグループの唯一のメンバーになります。

UPG は、複数ユーザー間のプロジェクトの連携を簡素化します。さらに、UPG のシステム設定では、ユーザーおよびこのユーザーが所属するグループ両方がファイルまたはディレクトリーを変更できるので、新規作成されたファイルまたはディレクトリーのデフォルトの権限を安全に設定できます。

グループのリストは、/etc/group 設定ファイルに保存されます。