情報システム管理情報システム管理

(1)

情報システム管理情報システム管理

２ . ユーザとグループの管理

水野嘉明

(2)

１ . ユーザとグループ

１ . １ユーザの種別

２ . ユーザ情報の登録

２ . １ /etc/passwd の内容２ . ２ /etc/shadow

２ . ３ユーザの追加、削除、更新

２ . ４ユーザによる情報の更新

３ . グループ

３ . １グループ情報格納ファイル３ . ２グループファイルの更新

本日の内容本日の内容

2

(3)

１１

. .

ユーザとグループユーザとグループ

 ユーザ、グループは、アクセス制御の単位



すべてのものに「所有者」の概念がある



ファイルのアクセス、コマンドの実行権などを制御

3

(4)

 UNIX には、複数ユーザがアクセス

（マルチユーザ）

１１

. .

4

UNIX マシン

一人ひとりのユーザを区別する

(5)

１１

. .

5

UNIX マシン

 管理をしやすくするために、グループという集団でユーザーを扱う

ユーザは、一つ以上のグループに所属

(6)

１１

. .

１ユーザの種別１ユーザの種別

 ユーザには、次の３種がある



特権ユーザ



特殊ユーザ



一般ユーザ

6

(7)

 特権ユーザ（ｒｏｏｔ）

システムの管理者

基本的に、何でもできる

ファイルの読み書き、削除

ディスクの管理（フォーマット等）

プロセスの起動・停止

ユーザの登録、管理

シャットダウン etc.

１１

. .

7

(8)



何でもできるので、慎重な操作が必要

システム全体を破壊するのも容易



通常の作業は一般ユーザで行い、

必要な場合のみ特権ユーザになるとよい

su コマンド

１１

. .

8

(9)

１１

. .

☆ 本講義では、

システム管理者（特権ユーザ：

root

）として、サーバを管理することを学ぶ

9

(10)

 特殊ユーザ



サービス運営用のユーザ



特殊な権限を保持

ｒｏｏｔ権限をばら撒くのは怖い ⇒ 特定の操作のみを許可



ログインできないものが大多数



例：ｆｔｐ、ｍａｉｌ、ｗｗｗ、

ｎｅｗｓ、・・・

１１

. .

10

(11)

 一般ユーザ



普通のユーザ



一人ひとりにユーザＩＤが割り振られる（複数人でユーザＩＤを共有することは、避けること）

１１

. .

11

(12)

１１

. .



ｓｕ

コマンド



一時的に他のユーザとなる



ユーザ名を指定しないと、ｒｏｏｔとなる

必要に応じて、パスワード入力が求められる

$ su [-] [user]

12

(13)

１１

. .



オプション引数

-

をつけると、

直接ログインした場合と同じ環境となる



元のユーザに戻るには、ｅｘｉｔコマンドを実行する

13

(14)

１１

. .



ｓｕコマンド実行例

14

ユーザ knoppi xから root に

root から mizuno に

元に戻る

(15)

２２

. .

ユーザ情報の登録ユーザ情報の登録

（パスワードファイル）

 / ｅｔｃ / ｐａｓｓｗｄ



ユーザを管理するための情報を格納しておく



テキストファイル



誰でも読み出しができる

（書込みは root のみ）

15

(16)

 パスワードは、別のファイルに格納する（ shadow 化）

⇒ /etc/shadow （ Linux 、 Solaris 等）

または

⇒ /etc/master.passwd （ BSD 等）

（ root のみが読み書き可）

２２

. .

16

(17)



昔は、パスワードも /etc/passwd に格納されていたが、セキュリティ上問題なので別ファイルとなった

★ /etc/passwd は誰でも読めるため

、総当りや辞書方式でパスワード破りができる

２２

. .

17

(18)



Linux/Solaris 系と BSD 系では

、少々フォーマットが異なるが、

基本は同じ

２２

. .

18

(19)

２２

. .

１１

/etc/passwd /etc/passwd

の内容の内容

 １ユーザに１行、コロンが区切り

1.

ユーザ名

2.

暗号化されたパスワード

3.

ユーザＩＤ番号

4.

グループＩＤ番号

5.

GECOS フィールド

6.

ホームディレクトリ

7.

ログインシェル

19

(20)

 /etc/passwd の例

２２

. .

１１

/etc/passwd /etc/passwd

の内容の内容

20

(21)

２２

. .

１１

/etc/passwd /etc/passwd

の内容の内容

mizuno:x:1001:1002:MIZUNO Yoshiaki,,,:

/home/mizuno:/bin/bash

ユーザ名

ユーザ

I D

パスワード

ホームディレク

トリ

ログインシェル

グループ

I D

GECOS

フィール

ド

21

(22)

１ . ユーザ名（ログイン名）

システ全体で一意

２ . 暗号化されたパスワード

shadow 使用時には「ｘ」などと記述３ . ユーザＩＤ番号

実際のユーザ管理は、この番号で行われる

２２

. .

１１

/etc/passwd /etc/passwd

の内容の内容

22

(23)

４ . グループＩＤ番号

所属するグループの番号（ＩＤ）

（グループについては後述）

５ . GECOS フィールド

ユーザのフルネームや説明など

コメント欄として使用できるが、一部のユーティリティもここを使用する

２２

. .

１１

/etc/passwd /etc/passwd

の内容の内容

23

(24)

６

.

ホームディレクトリ

ログイン時のカレントディレクトリ

通常、 /home の下にユーザ名のディレクトリを作成する

例） /home/mizuno

ユーザは、このディレクトリを自由に使うことが出来る

２２

. .

１１

/etc/passwd /etc/passwd

の内容の内容

24

(25)

７ . ログインシェル



そのユーザが使用するシェル



Linux では、 bash が多い

特殊ユーザは false や nologin

ｒｏｏｔはｓｈ（ボーンシェル）を使用することもよくある

２２

. .

１１

/etc/passwd /etc/passwd

の内容の内容

25

(26)

２２

. .

２２

/etc/shadow /etc/shadow



/etc/shadow

/etc/passwd からパスワードを分離

root のみが読み出し可



暗号化されたパスワードと、エージ

ングの情報が格納されている



BSD 系では、 /etc/master.passwd

26

(27)

 エージング

(aging)



パスワードに有効期間を設け、定

期的なパスワードの変更を促す事



/etc/shadow の第３～第８フィールドは、このエージングの管理を行うためのフィールド

２２

. .

２２

/etc/shadow /etc/shadow

27

(28)

/etc/shadow の例

２２

. .

２２

/etc/shadow /etc/shadow

「 * 」や「 !

」はログイン不可

28

暗号化されたパスワード

(29)

１ . ユーザ名



/etc/passwd と共通の名前２ . 暗号化されたパスワード

３ . パスワードを最後に変更した日



1970 年１月１日からの日数

４ . パスワード変更ができるようになるまでの日数

２２

. .

２２

/etc/shadow /etc/shadow

29

(30)

５

. パスワードを変更しなくても良い日数

６

. パスワードが期限切れになる前に警告を出す日数

７

.

期限切れになってから、使用でき

なくなるまでの日数

８

. アカウントの有効日数

９

. （将来用に予約）

２２

. .

２２

/etc/shadow /etc/shadow

30

(31)

２２

. .

２２

/etc/shadow /etc/shadow



暗号化は、非可逆



パスワードが正しいかどうかはチェックできる



元のパスワードを読み取ることは root でもできない

31

パスワード

暗号

(32)

２２

. .

３ユーザの追加、削除、３ユーザの追加、削除、

更新更新

 パスワードファイルの更新



ユーザの追加等のためには、パスワードファイル類を更新しなければならない

 /etc/passwd

 /etc/shadow

 /etc/group （後述）

 /etc/gshadow （後述）

32

(33)

 パスワードファイルの更新の方法



手動



コマンドラインベースのツール



GUI ツール

２２

. .

更新更新

33

(34)

 パスワードファイルの更新（手動）

/etc/passwd 、 /etc/shdow などはテキストファイルであるが、直接

エディタで書き換えてはならない

普通のエディタは競合を管理しないので、複数ユーザが一度に書き換えたり参照する可能性がある

⇒

vipw

を使用する

２２

. .

更新更新

34

(35)



vipw

/etc/passwd と /etc/shadow

編

集のためのコマンド



vi コマンド＋ファイルのロック

（

OS

によっては、もう少し他のことも行う）

root のみが実行できる

２２

. .

更新更新

35

(36)

 パスワードファイルの更新（ツール）

 useradd / userdel / usermod

パスワードファイル類の設定の他に

、ホームディレクトリの作成と設定ファイルの雛形のコピーなどもしてくれる

BSD などでは、

adduser / rmuser

２２

. .

更新更新

36

(37)

２２

. .

更新更新



オプション

 -m :

ホームディレクトリを

作成

 -s [ シェル

] : ログイン

シェルを指定する ₃₇

$ useradd [

オプション

] 　ユー

ザ名

(38)



多数のユーザを一度に登録するにはスクリプトで useradd を利用

（ GUI ツールより便利）

２２

. .

更新更新

38

(39)

 パスワードファイルの更新（

GU

I ）

 最近の OS

には、

GUI を用いて

ユーザ / グループの管理を行う

ツールが用意されている

２２

. .

更新更新

39

(40)



GUI ツールの画面例 (KNOPPIX)

２２

. .

更新更新

(41)

２２

. .

４ユーザによる情報の更４ユーザによる情報の更新新



前節での登録・更新は、特権ユーザ (root)

による

 ユーザ自身での更新

passwd : パスワードの変更

chsh ：ログインシェルの変更

chfn ：氏名等の情報（

GECO S)

を変更

41

(42)

 passwd コマンド

２２

. .

エコー表示されなエコー表示されないい

42

(43)

２２

. .



root は、他人のパスワードも

変更できる

☆ root は、古いパスワード不

要 ⁴³

(44)

【おまけ】パスワードを忘れ

【おまけ】パスワードを忘れたらたら

 アカウントの管理は、システム管理者（ｒｏｏｔ）の大事な仕事の一つである

問題：ある一般ユーザが、自分で設定したログイン・パスワードを忘れてしまったと連絡してきた。システム管理者としてどのように対

処すべきか

⁴⁴

(45)

【おまけ】パスワードを忘れ

【おまけ】パスワードを忘れたらたら

1. （本人確認）

2. passwd コマンドにて臨時パス

ワードを設定し、本人に通知する

3. 本人に、 passwd コマンドにて正

式パスワードを設定させる

45

(46)

３３

. .

グループグループ

 ユーザ＋グループ



権限制御はユーザ・グループ単位



ユーザは、ひとつ以上のグループに所属する

46

(47)

３３

. .

１１グループ情報格納ファグループ情報格納ファイルイル

 パスワードファイルと同様の構成



/etc/group

グループ情報格納ファイル



/etc/gshadow

シャドウ化グループ情報ファイル

47

(48)



/etc/group

1 グループ１行、コロン区切り

内容は

グループ名

暗号化されたパスワード

（シャドウ化されている時「ｘ」

等）

グループＩＤ

全メンバーのリスト　（コンマで区切る）

３３

. .

１グループ情報格納ファ１グループ情報格納ファイルイル

48

(49)

 /etc/group の例

３３

. .

(50)

 /etc/gshadow



内容

グループ名



暗号化されたパスワード

管理者リスト



メンバーリスト

３３

. .

50

(51)

３３

. .



注

KNOPPIX 5.3.1 は、グループ情報

のシャドウ化をしていない

(?)

（

gshadow ファイルがない）

51

(52)

３３

. .

２グループファイルの更２グループファイルの更新新



手作業



vigr

 コマンドラインベースのツール



groupadd

/

groupdel

/

grou

pmod



GUI ツール



パスワードファイルと共通

52

(53)

【課題１】

 新しいユーザを作成する



ユーザ名は、自分の名字例：

mizuno



以下の４ステップに従って作業する 1. ユーザを作成

2. パスワードを設定

3.

設定ファイルをコピー

4. /etc/passwd を提出

53

(54)

【課題１】

 ステップ１

useradd コマンドを用いて、一般ユーザを追加せよ

ユーザ名は、自分の名字

ホームディレクトリを作成する (-m)

シェルは /bin/bash (-s)

54

(55)

【課題１】

 ステップ２



作成したユーザのパスワードを

設定せよ

作成したユーザは、最初はログイン不可の状態

root にて passwd コマンドによりパスワードを設定する

55

(56)

【課題１】

 ステップ３

USB 内の設定ファイルを、ホームディレクトリにコピーせよ

まず、 su にて作成ユーザとなる

cd にてホームディレクトリに移る

cp により、 USB からコピーする .bashrc

.bash_profile

56

(57)

【課題１】

 ステップ４



ファイル /etc/passwd を提出

せよ



ToyoNet の manaba course 、

本科目の「レポート 1 」にて

提出する

57

(58)

【付録】ｒｏｏｔの仕事

 システム管理者（ｒｏｏｔ）には、

大きな権限と責任がある

 ほぼ、何でも出来る権限

どのユーザにもなることが出来る（ｓｕコマンド）



システムを安定的に、かつ安全に動作させる責任

58

(59)

 システム管理者（ｒｏｏｔ）に求められるもの

59

大きな権限と責任

技術力モラル

(60)

 システムを安定的／安全に動作させるため、システム管理者（ｒｏｏｔ）が行なうべき仕事



ソフトウェアやハードウェアの設定

ユーザの管理

システムのメンテナンス

定常的監視



障害対応

60

(61)

 ｒｏｏｔ権限が必要な作業の例



マシンの終了、再起動



サーバ・ソフトウェアの実行

 ソフトウェアのインストール



システムのアップデート

 ソフトウェアの設定変更

61

(62)

ハードウェアの増設、変更

アカウント管理（ユーザ登録・管理）

ログの閲覧

データのバックアップ

障害の修復

（データのリストア、設定変更、再起動、

ファイルの整理 etc. ）

62

(63)

 「ファイルとディスクの管理」



ファイルおよびディスクの管理の考え方、注意点



管理用のコマンド

次回の予定次回の予定

63

(64)

お疲れ様でしたお疲れ様でした

情報システム管理 情報システム管理