8.4. ユーザとグループのデータベース

ユーザのリストは通常 /etc/passwd ファイルに保存されており、/etc/shadow ファイルには暗号化されたパスワードが保存されています。どちらのファイルもテキストファイルで、比較的単純なフォーマットで書かれており、テキストエディタを使って読んだり変更することが可能です。各ユーザはこれらのファイルにリストされ、各行はコロン (「:」) で区切られたいくつかのフィールドを含んでいます。

NOTE システムファイルの編集

この章で述べるシステムファイルはすべてプレーンテキストファイルで、テキストエディタを使って編集することが可能です。システムファイルが中核システムの機能性に対して重要な役割を担っている点を考慮すると、システムファイルを編集する際に特別な注意を払うことはどんな場合でも良い考えです。最初に、システムファイルを開くか変更する前には必ず、そのコピーかバックアップを作ってください。2 番目に、潜在的に 1 人以上が同じファイルに同時にアクセスする可能性のあるサーバおよびマシンでは、ファイルの破壊を防ぐために特別な手順を踏んでください。

この目的を達成するには、/etc/passwd ファイルを編集する際に vipw コマンドを使ったり /etc/group ファイルを編集する際に vigr コマンドを使ったりするだけで十分です。これらのコマンドはテキストエディタ (デフォルトで vi。エディタを設定するには EDITOR 環境変数を使います) を実行する前に対象のファイルをロックします。これらのコマンドに -s オプションを付けることで、対応する shadow ファイルを編集することも可能です。

BACK TO BASICS crypt、一方向性関数

crypt は一方向性関数で、ある文字列 (A) を別の文字列 (B) に変換します。変換の際には B から A を得ることが不可能な方法を使います。A を得るにはすべての可能性をテストするしかありません。テストは各可能性を crypt で変換して得られた結果が B か否かで判断されます。crypt は入力 (文字列 A) として 8 文字目までを受け付け、13 文字の表示できる ASCII 文字 (文字列 B) を生成します。

8.4.1. ユーザリスト、`/etc/passwd`

以下は /etc/passwd ファイルに含まれるフィールドのリストです。

ログイン名。これはたとえば rhertzog です。
パスワード、これは一方向性関数 (crypt) によって暗号化されたパスワードです。使われる暗号化アルゴリズムは DES、MD5、SHA-256、SHA-512 などです。このフィールドの値が特別な値「x」だった場合、これは暗号化されたパスワードが /etc/shadow に保存されていることを意味しています。
uid。これは各ユーザを識別する一意的な番号です。
gid。これはユーザのメイングループを示す一意的な番号です (Debian はデフォルトで各ユーザに固有のグループを作成します)。
GECOS。通常これはユーザの氏名を含むデータフィールドです。
ログインディレクトリ。これはユーザが個人ファイルを保存するために割り当てられたディレクトリです (環境変数 $HOME は通常このディレクトリを指します)。
ログイン時に実行されるプログラム。通常これはユーザに行動の自由を与えるコマンドインタプリタ (シェル) です。/bin/false (何もせずすぐにコントロールを返すプログラム) が指定された場合、ユーザはログインできません。

8.4.2. 隠された暗号化パスワードファイル、`/etc/shadow`

/etc/shadow ファイルには以下のフィールドが含まれます。

ログイン名。
暗号化されたパスワード。
パスワードの有効期限を管理するいくつかのフィールド。

SECURITY /etc/shadow ファイルのセキュリティ

一般ユーザが /etc/shadow を読むことは不可能ですが、その分身である /etc/passwd を読むことは可能です。すなわち /etc/passwd に保存されている暗号化パスワードは誰でも読むことが可能です。さらにクラッカーは、いくつかの「総当り」法の 1 つを使って、簡単に言えばよく使われる文字の組み合わせを推測することで、パスワードを「破壊」(または明らかに) しようと試みることが可能です。/etc/shadow を使っているシステムではもはや、「辞書攻撃」と呼ばれるこの種の攻撃方法は不可能です。

8.4.3. 既存のアカウントやパスワードの変更

以下のコマンドはユーザデータベースの特定のフィールドに保存されている情報を変更します。すなわち passwd を使うと、一般ユーザは自分のパスワードを変更できます。つまり /etc/shadow ファイルが更新されます。さらに chfn (CHange Full Name) を使うと GECOS フィールドが変更されます。このコマンドはスーパーユーザ (root) 専用です。chsh (CHange SHell) を使うと、一般ユーザはログインシェルを変更できます。しかしながら、ここで設定できるのは /etc/shells に書かれたシェルだけです。その一方で、管理者はこの制限に縛られず、シェルにどんなプログラムを設定することも可能です。

最後に、chage (CHange AGE) コマンドを使うと、管理者はパスワードの有効期限設定を変更できます (-l user オプションで現在の設定を表示します)。passwd -e user コマンドを使うと、パスワードを強制的に失効させることが可能です。ユーザは次回のログイン時にパスワード変更を要求されます。

8.4.4. アカウントの失効

「アカウントを失効」する (ユーザを締め出す) 必要が出てくるかもしれません。これが必要になるのは、ユーザの懲戒処分、調査目的、単純に長期にわたって明らかにログインしていない場合などが考えられます。失効されたアカウントとは、ユーザがログインできないかマシンへのアクセスを獲得できないことを意味しています。アカウントは単にアクセスできない状態になっているだけで、アカウントがマシンから削除されるわけでもなければファイルおよびデータが削除されるわけでもありません。アカウントを失効するには passwd -l user (lock) を使ってください。もう一度アカウントを有効化するには同様の方法で -u オプション (unlock) を付けてください。

GOING FURTHER NSS とシステムデータベース

ユーザやグループのリストを管理する際に適切な NSS (Name Service Switch) モジュールを使えば、通常のファイルを使う代わりに LDAP や db などの他の種類のデータベースを使うことも可能です。/etc/nsswitch.conf ファイルの passwd、shadow、group エントリにはデータベースとして使われるモジュールがリストされています。LDAP で NSS モジュールを使う方法の具体例は第 11.7.3.1 節「NSS の設定」をご覧ください。

8.4.5. グループリスト、`/etc/group`

グループは /etc/group ファイルにリストされています。/etc/group ファイルは単純なテキストデータベースで、フォーマットは /etc/passwd ファイルとよく似ており、以下のフィールドを持っています。

グループ名。
パスワード (任意)。これはグループメンバーでないユーザがそのグループに参加する際に使われます (newgrp および sg コマンドを使います。補注「BACK TO BASICS 複数のグループに所属する」を参照してください)。
gid。これはグループを識別する一意的な番号です。
メンバーのリスト。これはグループに所属するユーザ名のコンマ区切りリストです。

BACK TO BASICS 複数のグループに所属する

ユーザは複数のグループに所属することが可能です。そして所属グループの 1 つが「メイングループ」です。ユーザのメイングループはデフォルトで最初のユーザ設定中に作成されます。デフォルトで、ユーザが作成したファイルは本人とそのメイングループの所有物になります。この状態が望ましくない場合もあります。たとえば、ユーザが自分のメイングループではないグループ用に共有されたディレクトリ内で仕事をする必要がある場合を考えてみましょう。この場合、ユーザは以下のコマンドのどちらかを使ってメイングループを変更する必要があります。具体的に言えば、新しいシェルを開始する newgrp か、与えられた別グループでコマンドを実行する sg を使う必要があります。これらのコマンドを使うと、ユーザは自分が所属していないグループに参加することが可能です。グループがパスワードで保護されていた場合、ユーザはコマンドを実行する前に適切なパスワードを入力する必要があります。

別の方法として、ディレクトリに setgid ビットを設定することが可能です。こうすることで、そのディレクトリの下に作成されたファイルのグループを自動的に適切なものにすることが可能です。詳細は補注「SECURITY setgid ディレクトリとスティッキービット」をご覧ください。

id コマンドはユーザのユーザ名 (uid 変数)、現在のメイングループ (gid 変数)、所属するグループのリスト (groups 変数) を表示します。

addgroup コマンドはグループを追加、delgroup コマンドはグループを削除します。groupmod コマンドは指定したグループの情報 (gid またはグループ名など) を変更します。gpasswd group は group で指定したグループのパスワードを変更し、一方で gpasswd -r group コマンドは group で指定したグループを削除します。

TIP getent

getent (get entries) コマンドは、適当なライブラリ関数を使い /etc/nsswitch.conf ファイルで設定された NSS モジュールを呼び出すという標準的な方法で、システムデータベースを確認します。getent コマンドは 1 つか 2 つの引数を取ります。具体的に言えば、引数としてデータベースの名前と検索キーを取ります。そんなわけで、getent passwd rhertzog コマンドはユーザデータベースから rhertzog ユーザに関する情報を表示します。