Red Hat Summit第10章 ユーザーおよびグループの管理
ファイルやプロセスへの不正アクセスを防ぐには、正確なユーザーおよびグループ管理が必要です。アカウントを集中管理しない場合、または特定のシステムでのみユーザーアカウントまたはグループが必要な場合は、ホスト上でローカルに作成できます。
10.1. ユーザーアカウントおよびグループアカウントの管理の概要
ユーザーとグループの制御は、Red Hat Enterprise Linux (RHEL) システム管理の中核となる要素です。各 RHEL ユーザーには各種ログイン認証情報があり、さまざまなグループに割り当ててシステム権限をカスタマイズすることができます。
10.1.1. ユーザーとグループの概要
ファイルを作成するユーザーは、そのファイルの所有者 および グループ所有者です。ファイルには、所有者、グループ、およびそのグループ外のユーザーに対して読み取り、書き込み、実行のパーミッションが別々に割り当てられます。ファイルの所有者は、root ユーザーのみが変更できます。ファイルへのアクセス権限を変更できるのは、root ユーザー、ファイル所有者の両方です。通常ユーザーは、所有するファイルのグループ所有権を、所属するグループに変更できます。
各ユーザーは、ユーザー ID (UID) と呼ばれる一意の数値 ID に関連付けられています。各グループは グループ ID (GID) に関連付けられています。グループ内のユーザーは、そのグループが所有するファイルの読み取り、書き込み、実行を行う権限を共有します。
10.1.2. 予約ユーザーおよびグループ ID の設定
デフォルトでは、RHEL は 1000 未満のユーザー ID とグループ ID をシステムユーザーとグループ用に予約します。予約ユーザー ID とグループ ID は、setup パッケージで確認できます。UID_MIN および GID_MIN 値を変更する前に作成されたユーザーおよびグループの UID および GID は変更されません。予約済みのユーザー ID とグループ ID については、次のドキュメントに記載されています。
/usr/share/doc/setup/uidgid
将来的に予約範囲が拡大する可能性があるため、新しいユーザーとグループに 5000 から始まる ID を割り当てます。
/etc/login.defs ファイルの UID_MIN および GID_MIN パラメーターを変更して、デフォルト (1000) 以外の開始 ID を定義します。
上限が 1000 のシステムとの競合を回避するため、SYS_UID_MAX を変更して、システムが予約している ID を 1000 以上にしないようにしてください。
手順
-
エディターで
/etc/login.defsファイルを開きます。 UID_MIN変数を設定します。例:# Min/max values for automatic uid selection in useradd # UID_MIN 5000GID_MIN変数を設定します。例:# Min/max values for automatic gid selection in groupadd # GID_MIN 5000通常のユーザーに動的に割り当てられる UID と GID は、5000 から始まります。
10.1.3. ユーザープライベートグループ
RHEL は ユーザープライベートグループ (UPG) システム設定を使用するため、Linux グループの管理が容易になります。ユーザープライベートグループは、新規ユーザーがシステムに追加されるたびに作成されます。ユーザープライベートグループは作成したユーザーと同じ名前となり、そのユーザーがそのユーザープライベートグループの唯一のメンバーになります。
UPG は、複数ユーザー間のプロジェクトの連携を簡素化します。さらに、UPG のシステム設定では、ユーザーおよびこのユーザーが所属するグループ両方がファイルまたはディレクトリーを変更できるので、新規作成されたファイルまたはディレクトリーのデフォルトの権限を安全に設定できます。
すべてのローカルグループのリストは 、/etc/group 設定ファイルに保存されます。
