第9章 ユーザーおよびグループの管理
ファイルやプロセスへの不正アクセスを防止するには、ユーザーとグループを正確に管理する必要があります。アカウントを一元管理していない場合、または特定のシステム上でのみユーザーアカウントやグループが必要な場合は、そのホスト上でローカルにユーザーアカウントやグループを作成できます。
9.1. ユーザーアカウントおよびグループアカウントの管理の概要
ユーザーとグループの制御は、Red Hat Enterprise Linux (RHEL) システム管理の中核となる要素です。各 RHEL ユーザーには各種ログイン認証情報があり、さまざまなグループに割り当ててシステム権限をカスタマイズすることができます。
9.1.1. ユーザーとグループの概要
ファイルを作成するユーザーは、そのファイルの所有者 および グループ所有者です。ファイルには、所有者、グループ、およびそのグループ外のユーザーに対して読み取り、書き込み、実行のパーミッションが別々に割り当てられます。ファイルの所有者は、root
ユーザーのみが変更できます。ファイルへのアクセス権限を変更できるのは、root
ユーザー、ファイル所有者の両方です。通常ユーザーは、所有するファイルのグループ所有権を、所属するグループに変更できます。
各ユーザーは、ユーザー ID (UID) と呼ばれる一意の数値 ID に関連付けられています。各グループは グループ ID (GID) に関連付けられています。グループ内のユーザーは、そのグループが所有するファイルの読み取り、書き込み、実行を行う権限を共有します。
9.1.2. 予約ユーザーおよびグループ ID の設定
RHEL は、999 以下のユーザー ID とグループ ID をシステムユーザーとグループ用に予約しています。予約ユーザー ID とグループ ID は、setup
パッケージで確認できます。予約ユーザー ID とグループ ID を表示するには、以下を使用します。
cat /usr/share/doc/setup*/uidgid
予約範囲は今後増える可能性があるため、新規ユーザーおよびグループには、5000 以降の ID を割り当てることを推奨します。
デフォルトで新規ユーザーに割り当てる ID を 5000 以降に指定するには、/etc/login.defs
ファイルの UID_MIN
と GID_MIN
パラメーターを変更します。
手順
デフォルトで新規ユーザーに割り当てる ID を 5000 以降にするには、以下のコマンドを実行します。
-
任意のエディターで
/etc/login.defs
ファイルを開きます。 UID の自動選択の最小値を定義する行を見つけます。
# Min/max values for automatic uid selection in useradd # UID_MIN 1000
UID_MIN
の値を 5000 から開始するように変更します。# Min/max values for automatic uid selection in useradd # UID_MIN 5000
GID の自動選択の最小値を定義する行を見つけます。
# Min/max values for automatic gid selection in groupadd # GID_MIN 1000
GID_MIN
の値を 5000 から開始するように変更します。# Min/max values for automatic gid selection in groupadd # GID_MIN 5000
通常のユーザーに動的に割り当てられる UID と GID は、5000 から始まります。
注記UID_MIN および GID_MIN の値を変更する前に作成された UID および GID のユーザーおよびグループは変更されません。
これにより、新規ユーザーのグループに UID および GID と同じ 5000+ ID を持たせることができます。
警告上限が 1000 のシステムとの競合を回避するため、
SYS_UID_MAX
を変更して、システムが予約している ID を 1000 以上にしないようにしてください。
9.1.3. ユーザープライベートグループ
RHEL は、ユーザープライベートグループ (UPG) システム設定を使用するため、UNIX グループの管理が容易になります。ユーザープライベートグループは、新規ユーザーがシステムに追加されるたびに作成されます。ユーザープライベートグループは作成したユーザーと同じ名前となり、そのユーザーがそのユーザープライベートグループの唯一のメンバーになります。
UPG は、複数ユーザー間のプロジェクトの連携を簡素化します。さらに、UPG のシステム設定では、ユーザーおよびこのユーザーが所属するグループ両方がファイルまたはディレクトリーを変更できるので、新規作成されたファイルまたはディレクトリーのデフォルトの権限を安全に設定できます。
グループのリストは、/etc/group
設定ファイルに保存されます。