情報システム管理 2. ユーザとグループの管理 水野嘉明 本日の内容 1. ユーザとグループ 1.1 ユーザの種別 2. ユーザ情報の登録 2.1 /etc/passwd の内容 2.2 /etc/shadow 2.3 ユーザの追加、削除、更新 2.4 ユーザによる情報の更新 3. グループ 3.1 グループ情報格納ファイル 3.2 グループファイルの更新 2 1. ユーザとグループ ユーザ、グループは、アクセス制御 の単位 すべてのものに「所有者」の概念 がある ファイルのアクセス、コマンドの実 行権などを制御 3 1. ユーザとグループ UNIXには、複数ユーザがアクセス (マルチユーザ ) UNIXマシン 一人ひとりのユーザを区別する 4 1. ユーザとグループ をしやすくするために、グルー プ という集団でユーザーを扱う 管理 UNIXマシン ユーザは、一つ以上のグループに所属 5 1.1 ユーザの種別 ユーザには、次の3種がある 特権ユーザ 特殊ユーザ 一般ユーザ 6 1.1 ユーザの種別 ( root ) システムの管理者 基本的に、何でもできる ファイルの読み書き、削除 ディスクの管理(フォーマット等) プロセスの起動・停止 ユーザの登録、管理 シャットダウン etc. 特権ユーザ 7 1.1 ユーザの種別 何でもできるので、慎重な操作が必 要 システム全体を破壊するのも容易 通常の作業は一般ユーザで行い、 必要な場合のみ特権ユーザになる とよい su コマンド 8 1.1 ユーザの種別 ☆本講義では、 システム管理者 (特権ユーザ:root) として、サーバを管理することを学ぶ 9 1.1 ユーザの種別 特殊ユーザ サービス運営用のユーザ 特殊な権限を保持 root権限をばら撒くのは怖い ⇒ 特定の操作のみを許可 ログインできないものが大多数 例: ftp、mail、www、news、・・・ 10 1.1 ユーザの種別 一般ユーザ 普通のユーザ 一人ひとりにユーザIDが割り振ら れる (複数人でユーザIDを共有するこ とは、避けること) 11 1.1 ユーザの種別 su コマンド 一時的に他のユーザとなる ユーザ名を指定しないと、root と なる $ su [-] [user] 必要に応じて、パスワード入力が 求められる 12 1.1 ユーザの種別 オプション引数 - をつけると、直接 ログインした場合と同じ環境となる 元のユーザに戻るには、exit コマ ンドを実行する 13 1.1 ユーザの種別 suコマンド実行例 ユーザ knoppix から rootに rootから mizunoに 元に戻る 14 2. ユーザ情報の登録 (パスワードファイル) /etc/passwd ユーザを管理するための情報を格 納しておく テキストファイル 誰でも読み出しができる (書込みは rootのみ) 15 2. ユーザ情報の登録 パスワードは、別のファイルに格納 する (shadow化) ⇒ /etc/shadow (Linux、Solaris等) または ⇒ /etc/master.passwd (BSD等) ( rootのみが読み書き可 ) 16 2. ユーザ情報の登録 昔は、パスワードも /etc/passwdに 格納されていたが、セキュリティ上 問題なので 別ファイルとなった ★ /etc/passwdは誰でも読めるため、 総当りや辞書方式でパスワード破 りができる 17 2. ユーザ情報の登録 Linux/Solaris系と BSD 系では、少々 フォーマットが異なるが、基本は同じ 18 2.1 /etc/passwd の内容 1ユーザに1行、コロンが区切り 1. ユーザ名 2. 暗号化されたパスワード 3. ユーザID番号 4. グループID番号 5. GECOSフィールド 6. ホームディレクトリ 7. ログインシェル 19 2.1 /etc/passwd の内容 /etc/passwd の例 20 2.1 /etc/passwd の内容 ユーザID ユーザ名 GECOSフィールド グループID mizuno:x:1001:1002:MIZUNO Yoshiaki,,,: /home/mizuno:/bin/bash パスワード ログインシェル ホームディレクトリ 21 2.1 /etc/passwd の内容 1. ユーザ名 (ログイン名) システ全体で一意 2. 暗号化されたパスワード shadow使用時には 「x」などと記述 3. ユーザID番号 実際のユーザ管理は、この番号で 行われる 22 2.1 /etc/passwd の内容 4. グループID番号 所属するグループの番号(ID) (グループについては後述) 5. GECOSフィールド ユーザのフルネームや説明など コメント欄として使用できるが、一部 のユーティリティもここを使用する 23 2.1 /etc/passwd の内容 6. ホームディレクトリ ログイン時のカレントディレクトリ 通常、/home の下に ユーザ名の ディレクトリを作成する 例) /home/mizuno ユーザは、このディレクトリを自由 に使うことが出来る 24 2.1 /etc/passwd の内容 7. ログインシェル そのユーザが使用するシェル Linuxでは、 bash が多い 特殊ユーザは false や nologin root は sh(ボーンシェル)を使用 することもよくある 25 2.2 /etc/shadow /etc/shadow /etc/passwd からパスワードを分離 root のみが読み出し可 暗号化されたパスワードと、エージ ングの情報が格納されている BSD系では、 /etc/master.passwd 26 2.2 /etc/shadow エージング (aging) パスワードに有効期間を設け、定 期的なパスワードの変更を促す事 /etc/shadow の第3~第8フィー ルドは、このエージングの管理を 行うためのフィールド 27 2.2 /etc/shadow /etc/shadow の例 「*」や「!」は ログイン不可 暗号化された パスワード 28 2.2 /etc/shadow 1. ユーザ名 /etc/passwd と共通の名前 2. 暗号化されたパスワード 3. パスワードを最後に変更した日 1970年1月1日からの日数 4. パスワード変更ができるように なるまでの日数 29 2.2 /etc/shadow 5. パスワードを変更しなくても良い 日数 6. パスワードが期限切れになる前に 警告を出す日数 7. 期限切れになってから、使用でき なくなるまでの日数 8. アカウントの有効日数 9. (将来用に予約) 30 2.2 /etc/shadow 暗号化は、非可逆 パスワードが正しいかどうかは チェックできる 元のパスワードを読み取ることは root でもできない パスワード 暗号 31 2.3 ユーザの追加、削除、更新 パスワードファイルの更新 ユーザの追加等のためには、パス ワードファイル類を更新しなければ ならない /etc/passwd /etc/shadow /etc/group (後述) /etc/gshadow (後述) 32 2.3 ユーザの追加、削除、更新 パスワードファイルの更新の方法 手動 コマンドラインベースのツール GUI ツール 33 2.3 ユーザの追加、削除、更新 パスワードファイルの更新 (手動) /etc/passwd、 /etc/shdowなどは テキストファイルであるが、直接エ ディタで書き換えてはならない 普通のエディタは競合を管理しない ので、複数ユーザが一度に書き換え たり参照する可能性がある ⇒ vipw を使用する 34 2.3 ユーザの追加、削除、更新 vipw /etc/passwd と /etc/shadow 編 集のためのコマンド vi コマンド + ファイルのロック (OSによっては、もう少し他の ことも行う) root のみが実行できる 35 2.3 ユーザの追加、削除、更新 パスワードファイルの更新 (ツール) useradd / userdel / usermod パスワードファイル類の設定の他 に、ホームディレクトリの作成と設 定ファイルの雛形のコピーなどもし てくれる BSDなどでは、 adduser / rmuser 36 2.3 ユーザの追加、削除、更新 $ useradd [オプション] ユーザ名 オプション -m : ホームディレクトリを作成 -s [シェル] : ログインシェルを 指定する 37 2.3 ユーザの追加、削除、更新 多数のユーザを一度に登録するには スクリプトで useradd を利用 (GUIツールより便利) 38 2.3 ユーザの追加、削除、更新 パスワードファイルの更新 (GUI) 最近のOSには、GUIを用いてユー ザ/グループの管理を行うツール が用意されている 39 2.3 ユーザの追加、削除、更新 GUI ツールの画面例 (KNOPPIX) 2.4 ユーザによる情報の更新 前節での登録・更新は、特権ユーザ (root)による ユーザ自身での更新 passwd : パスワードの変更 chsh : ログインシェルの変更 chfn : 氏名等の情報(GECOS) を変更 41 2.4 ユーザによる情報の更新 passwd コマンド エコー表示されない 42 2.4 ユーザによる情報の更新 root は、他人のパスワードも変更 できる ☆ rootは、古いパスワード不要 43 【おまけ】 パスワードを忘れたら アカウントの管理は、システム管理 者(root)の大事な仕事の一つであ る 問題: ある一般ユーザが、自分で設定 したログイン・パスワードを忘れてし まったと連絡してきた。システム管理 者としてどのように対処すべきか 44 【おまけ】 パスワードを忘れたら 1. (本人確認) 2. passwd コマンドにて臨時パスワード を設定し、本人に通知する 3. 本人に、passwd コマンドにて正式 パスワードを設定させる 45 3. グループ ユーザ + グループ 権限制御はユーザ・グループ単位 ユーザは、ひとつ以上のグループ に所属する 46 3.1 グループ情報格納ファイル パスワードファイルと同様の構成 /etc/group グループ情報格納ファイル /etc/gshadow シャドウ化グループ情報ファイル 47 3.1 グループ情報格納ファイル /etc/group 1グループ1行、 コロン区切り 内容は グループ名 暗号化されたパスワード (シャドウ化されている時「x」等) グループID 全メンバーのリスト (コンマで区切る) 48 3.1 グループ情報格納ファイル /etc/group の例 3.1 グループ情報格納ファイル /etc/gshadow 内容 グループ名 暗号化されたパスワード 管理者リスト メンバーリスト 50 3.1 グループ情報格納ファイル 注 KNOPPIX 5.3.1は、グループ情報の シャドウ化をしていない (?) (gshadowファイルがない) 51 3.2 グループファイルの更新 手作業 vigr コマンドラインベースのツール groupadd / groupdel / groupmod GUI ツール パスワードファイルと共通 52 【課題 1】 新しいユーザを作成する ユーザ名は、自分の名字 例: mizuno 以下の4ステップに従って作業する 1. ユーザを作成 2. パスワードを設定 3. 設定ファイルをコピー 4. /etc/passwdを 提出 53 【課題 1】 ステップ1 useradd コマンドを用いて、一般ユー ザを追加せよ ユーザ名は、自分の名字 ホームディレクトリを作成する (-m) シェルは /bin/bash (-s) 54 【課題 1】 ステップ2 作成したユーザのパスワードを設 定せよ 作成したユーザは、最初はログイ ン不可の状態 root にて passwdコマンドにより パスワードを設定する 55 【課題 1】 ステップ3 USB内の設定ファイルを、ホーム ディレクトリにコピーせよ まず、su にて作成ユーザとなる cd にてホームディレクトリに移る cp により、USBからコピーする .bashrc .bash_profile 56 【課題 1】 ステップ4 ファイル /etc/passwd を提出せよ ToyoNet の manaba course、本 科目の 「レポート1」にて提出する 57 【付録】 rootの仕事 システム管理者(root)には、大きな権 限と責任がある ほぼ、何でも出来る権限 どのユーザにもなることが出来る (su コマンド) システムを安定的に、かつ安全に動 作させる責任 58 【付録】 rootの仕事 システム管理者(root)に求められる もの 技術力 モラル 大きな権限 と責任 59 【付録】 rootの仕事 システムを安定的/安全に動作させ るため、システム管理者(root)が行 なうべき仕事 ソフトウェアやハードウェアの設定 ユーザの管理 システムのメンテナンス 定常的監視 障害対応 60 【付録】 rootの仕事 root権限が必要な作業の例 マシンの終了、再起動 サーバ・ソフトウェアの実行 ソフトウェアのインストール システムのアップデート ソフトウェアの設定変更 61 【付録】 rootの仕事 ハードウェアの増設、変更 アカウント管理 (ユーザ登録・管理) ログの閲覧 データのバックアップ 障害の修復 (データのリストア、設定変更、再起動、 ファイルの整理 etc.) 62 次回の予定 「ファイルとディスクの管理」 ファイルおよびディスクの管理の 考え方、注意点 管理用のコマンド 63 お疲れ様でした
© Copyright 2024 ExpyDoc
](http://s1.expydoc.com/store/data/005863534_1-3cbba3aa00ed2e524d83964426d6ee27-250x500.png)
