ユーザー管理コマンドの働きを知る大切さとは

通常 WBEL や CentOS 上で ユーザーアカウント を作成したり削除したりするときには useradd や userdel などの コマンド を用います。

また既存のユーザーアカウントのパスワードの設定や変更を行ったりするときには、 passwd コマンドを利用するのが普通です。

ユーザー管理に用いるこれらの重要なコマンドは、その役割から想像されるような複雑な作業をしているわけでも、覗き見ることができないような謎の データベース に情報を書き込んでいるわけでもありません。

実はこれらのコマンドは、

１． テキスト ファイル"/etc/passwd"と"/etc/shadow"へのユーザーアカウント情報の書き込みと修正。

２．ホームディレクトリとメールの空ファイルの作成または削除。

という、単純な作業をしているに過ぎません。

つまり、これらの設定ファイルを picoエディタ で書き換えたり、 mkdir コマンドや cp コマンド、などを使ってディレクトリやファイルを操作したりすることで自由にユーザーアカウントの情報を変更することができます。

もちろんこれらの設定はきちんとした書式とルールに基づいて行わなければなりませんから、操作ミスをすると最悪の場合「ログイン不能」に陥ることになりますから慎重に作業する必要があります。

しかし、例えばアカウントの状況を確認したい場合や、ユーザーアカウントにフルネームを付けたい場合などには、コマンドを利用するよりも判りやすく、簡単に作業することができます。

また、これらの仕組みを理解することでユーザー管理を自由自在に行うことができるようになりますので、是非マスターしたいものです。

アカウント情報ファイル"/etc/passwd"

百聞は一見にしかず。とりあえず "/etc/passwd" の中身をのぞいてみましょう。 picoエディタ で開く か、 cat コマンド で "/etc/passwd" の内容を表示してみてください。

"/etc/passwd" は任意のユーザーアカウントで閲覧可能ですが、書き換えができるのは root アカウントだけになっています。

インストール されている アプリケーション の内容によって異なりますが、大体以下のようになっているはずです。

"/etc/passwd" の中では、一つの アカウント は一行で記述され、内容は ":(コロン)" で隔てられた７つの項目に順番で記録されています。

この中で オレンジ で表示している部分は、インストールされているアプリケーションが利用する システムアカウント です。

例えば、 "named" は DNSサーバー である BIND を実行するためのシステムアカウント 、 "apache" は、 webサーバー である Apache に対してホームページ閲覧のために接続する クライアント が一時使用するシステムアカウント です。

システムアカウントはこのように最初から決まった用途でアカウント名とアクセス権限が設定されていますので、内容を書き換えると不具合の原因になりますからそのままにしておきます。

一方の、 太字 の部分が ユーザーアカウント です。

useradd コマンドで新規ユーザーの登録が行われると、このような新しい行が追加され、 userdel コマンドが実行されると、該当するユーザーアカウントの行が削除されることになります。

その設定内容を以下に示します。

"/etc/passwd"の書式

一番左の "アカウント名" は、その名のとおりuseraddコマンドで指定したアカウント名です。

"ダミーパスワード" は、本来パスワードを記述する部分ですが、 WBEL や CentOS では セキュリティ を高めるために実際のパスワードは後述する "/etc/shadow" に記録されるようになっていて、この "/etc/passwd" ファイルの中には "x" とダミーが記述されるだけになっています。

"ユーザーID番号" は、そのユーザーに割り当てられている識別番号で、useraddコマンドを実行するときに特に指定をしなければ500から始まる番号が自動的に割り振られるようになっています。識別番号ですからこれはユーザーアカウント名と同様に ユニーク でなければなりません。

"グループID番号" は、ユーザーアカウントが所属するグループのID番号です。 デフォルト ではユーザーアカウントと同じ名前のグループが作成され、ユーザーアカウントはそのグループの唯一のユーザーとして登録されるようになっていますから、特別なことをしない限りこの番号は "ユーザーID番号" と同じになっているはずです。

"コメント" は、通常そのユーザーアカウントに関する説明を記述します。

このパラメータはシステムの動作には何も影響を与えませんから自由に設定することができます。

普通にuseraddコマンドでユーザーを追加しても、この部分は何も設定されませんから、通常は以下のように空欄になっているはずです。

これは必須のパラメータではありませんから、強いて設定する必要はありません。

ただ、いくつかのアプリケーションでは、このパラメータを参照して「詳細なユーザー情報」として表示することがありますし、ユーザーアカウントの数が増えてくるとその利用者が誰だったかわからなくなってしまうことがありますから、必要に応じてユーザーアカウントの利用者のフルネームを設定しておくとよいでしょう。

"ホームディレクトリ" には、そのユーザーアカウントの ホームディレクトリ の パス が設定されています。

ホームディレクトリはそのユーザーアカウントのデータを保管する用途以外に、そのユーザーアカウントが利用するアプリケーションの初期設定ファイルを ドットファイル で格納する場所でもあります。

従って、このパラメータを不用意に変更すると動作に不具合が起こることがありますので注意してください。

"デフォルトのシェルプログラム" は、実機や SSHクライアント から ログイン するときに起動される シェル プログラムの種類です。

デフォルトでは "/bin/bash" が設定されます。

WBELやCentOSにはbashの他にいくつか違う種類のシェルを利用することができますが、 LinuxOS ではbash以外のシェルが CUI の プロンプト として利用されるケースは稀で、インターネットや解説書では通常bashでの操作が前提になっています。もしシェルを違う種類のものに変更してしまうと、それらの豊富な情報が参照できなくなってしまいますので、変更しないほうが得策でしょう。

さて、クライアント向けに発行するのユーザーアカウントは、メールの受信ボックス、あるいは webサーバー 用の貸スペースや Samba でのファイル共有などのために 間接的に しか利用しないのが最近のサーバーの運用スタイルになっています。

ユーザーがシェルで サーバー に直接ログインしてコマンドを操作する、とういう旧来の運用スタイルは非常に稀になっています。

つまり実際には、管理者(つまり自分自身)以外が利用するユーザーアカウントに対して "デフォルトのシェルプログラム" のパラメータを設定することはまず意味をなしません。

従ってこういうケースでは万が一のトラブルを防ぐ意味で、シェルによるログインの可能性のないユーザーアカウントに対しては、

のように書き換え、「デフォルトのログインシェルは なし 」と設定を変更しておくと安心です。

"/etc/default/useradd"〜useraddのデフォルト

上のパートで、

「 シェル で直接 ログイン する可能性のない ユーザーアカウント には、 "/etc/passwd" の設定行を書き換えてログインできないようにしておきましょう。」

と説明しました。

しかし、追加するユーザーアカウントの大部分にログイン権限を与えないとすると、 useradd コマンド を実行するたびに "/etc/passwd" の "デフォルトのシェルプログラム" の部分を

"/bin/bash" → "/bin/false"

に書き換えなければならないのでとても面倒です。

実はuseraddコマンドは、その実行の際に "/etc/default/useradd" という テキスト ファイルを参照し、その内容に基づいて新規のユーザーアカウントを設定します。

つまり、このテキストファイルの内容を予め修正しておけば、useraddコマンドの実行時の振る舞いを変更することができるというわけです。

以下に デフォルト の "/etc/default/useradd" の内容を示します。

これを、

のように修正すると、useraddで追加されるすべてのユーザーアカウントに対して 「シェルによるログインを許可しない」 という設定が自動で行われることになります。

この "/etc/default/useradd" でもう一つ注目すべき設定は、

の部分です。

ここで指定されている "/etc/skel" というディレクトリには、 bash の初期設定ファイルである .bashrc などが格納されていて、useraddコマンドが実行されるときに作成されるユーザーカウントの ホームディレクトリ 以下にコピーされます。

例えばユーザーアカウントを発行する目的が webサーバー の貸スペースや、 Samba の クライアント としてであれば、ホームディレクトリ以下に必ず "public_html" や "samba_dir" などの専用ディレクトリを作成しなければなりませんが、これをいちいちコマンド操作で作成するのは面倒です。

そこで root アカウントから、

[root@web1 root]# mkdir /etc/skel/public_htmlEnter [root@web1 root]# mkdir /etc/skel/samba_dirEnter [root@web1 root]#

のようにコマンドを操作して、 "/etc/skel" 以下に、予めこれらのディレクトリを作成しておけば、useraddコマンドを実行したときに、ホームディレクトリ以下に同じディレクトリが自動的に作成されるようになります。

パスワード情報ファイル"/etc/shadow"

WBEL や CentOS では、パスワードや ユーザーアカウント の有効期限の情報など、 ユーザーの ログイン に関するデータは "/etc/shadow" に記録されています。

本来 UNIX 系の OS では、 "/etc/passwd" 上でユーザーアカウント情報とともにパスワード情報まで保管していました。

しかし、ユーザーアカウント名や ホームディレクトリー の パス や デフォルト の ログイン シェル の種類などの比較的頻繁に参照したい情報と、本来頻繁に見せるべきではないパスワード情報が同じファイル上に存在するのは セキュリティ と利便性のどちらにも問題があるため、現在の多くの LinuxOS ディストリビューション ではWBELやCentOSと同様に別々のファイル上に記録されるようになっているというわけです。

従ってユーザーアカウントの一般情報である "/etc/passwd" は一般ユーザーでも閲覧可能になっているのに対し、機密情報である "/etc/shadow" には root ユーザーのみの読み書き権限しか与えられていません。

以下に、 "/etc/shadow" の一部を掲載します。

"/etc/shadow" の中では、一つの アカウント は一行で記述され、内容は ":(コロン)" で隔てられた9つの項目に順番で記録されています。

この中で オレンジ で示している部分は、 システムアカウント に関する記述です。

そして 太字 で示している部分が ユーザーアカウント に関する記述となります。

useradd コマンドで新規ユーザーの登録が行われると、このような新しい行が追加され、 userdel コマンドが実行されると、該当するユーザーアカウントの行が削除されることになります。

その設定内容を以下に示します。

"/etc/shadow"の書式

一番左の "アカウント名" は、useraddコマンドで指定したアカウント名です。 "/etc/passwd" の "アカウント名" と必ず１対１で対応します。

"暗号化されたパスワード" には、設定したパスワードそのものではなく、パスワードから MD5 で求められた暗号化パスワードが記録されています。

ユーザーがログインするときや、メールを受信するときなどに、 プロンプト からタイプされたり、クライアントから送られたりするパスワードとの照合に用いられる部分です。

暗号化されていますからここで見ることのできる文字列から元のパスワードを求めることはできません。

ただし解読は不可能でも、暗号化された文字列をそのまま転用することはできます。

例えば tanaka の暗号化パスワードを suzuki の該当部分にそのまま記述すると、 suzuki は tanaka と同じパスワードでログインしなければならなくなるというわけです。

useraddコマンドで作成されたユーザーアカウントは、 passwd コマンドでパスワードが設定されるまではログインできません。 この場合、

のようにパスワードの部分には "!!" と記述されています。

これを、

と完全に空白にしてしまうと、「パスワードなしでログインを許可」となってしまい、誰でも自由にログイン可能になってしまいますので注意してください。

"パスワードの最終更新日" は、パスワードが設定、あるいは更新された日を1970年1月1日からの経過日数で示したものです。

"パスワードの変更可能期間" は、passwdコマンドでパスワードを変更できる日数の間隔です。デフォルトは "0" ですから、いつでも何度でもパスワードの変更ができます。

例えばこれを "30" とすると、パスワードの変更は30日に一回しかできなくなります。

このパラメータはユーザー自身にパスワード変更を任せる場合に、必要以上にパスワードを変更させたくない場合に設定しますが、 構築中のLinuxサーバー のように、管理者がパスワードの管理をすべて行う場合にはデフォルトの "0" ままでかまいません。

"パスワードの有効期限" は、設定したパスワードがそのまま変更せずに利用できる日数を示します。 "パスワードの最終更新日" からこの日数を経過すると、そのパスワードが利用できなくなります。

デフォルトの "99999" は「無期限に有効」をあらわします。例えば "365" と設定するとパスワードの有効期限は一年となり、ユーザーは最後のパスワード変更から一年が経過する前にパスワードを変更しなければならなくなります。

つまりこのパラメータは、ユーザーに対して「定期的なパスワード変更」を強制したい場合に設定するものですから、ユーザーにパスワード管理を任せない 構築中のLinuxサーバー ではデフォルト "99999" のままで構いません。

"パスワード切れ予告日数" は、"パスワードの有効期限"が来る前に、プロンプト上で「もうすぐパスワードの期限が来る」という予告を始める日数です。

デフォルトは "7" ですから、パスワード期限が切れる一週間前から予告が行われ、ユーザーに対してパスワード変更を促すことになります。

しかしながら、 構築中のLinuxサーバー ではユーザーがシステムにログインするような運用を行いませんから、ユーザーはそのメッセージを受け取ることができませんし、それ以前にパスワードにも有効期限を設けませんから、このパラメータは事実上機能しません。

結局のところ、 公開サーバー と自宅内 ファイルサーバー の運用が中心の、現在 構築中のLinuxサーバー では、この "/etc/shadow" を操作するケースはあまりないといえます。

しかしながら、 構築中のLinuxサーバー が比較的多くのユーザーを抱えるようになったとき、そして何らかの理由で サーバー機 の再構築を行わなければならなくなったとき、この "/etc/shadow" のバックアップをとっておけば、各々のユーザーのパスワードがわからなくなったとしてもコピー＆ペーストで簡単に元のパスワードに設定しなおすことができるようになりますから、覚えておいて損はありません。