ユーザ・グループ管理系のコマンド

はじめに

ユーザ

Linuxにおいてユーザとは、システムを利用する主体のことである。主体は人物だけとは限らず、ルートユーザ、システムユーザ、一般ユーザに大別される。

グループ

Linuxにおいてグループとは、複数のユーザをまとめて、アクセス権限を効率的に管理するためのものである。システムグループと一般グループに大別される。

ユーザは最低でも1つのグループに所属する。その中の1つがプライマリグループ（またはメイングループ）となり、ユーザがファイルやフォルダを作成したときのデフォルトの所有グループとなる。プライマリグループではない所属グループのことをセカンダリグループ（またはサブグループ、サプリメンタルグループ、補助グループなど）と呼ぶ。

通常、ユーザはユーザ名と同じ名前のグループがプライマリグループとなる。この同名のグループをユーザグループ（またはユーザプライベートグループ）と呼ぶ。一般に、ユーザグループにはそのユーザだけが所属する。これにより、ユーザが作成したファイルを編集できるのはデフォルトでは(管理者を除けば)そのユーザのみとなる。

シャドウパスワード

初期のUNIXでは誰でも見られるファイルにパスワードが保管されていたが、現在はrootだけが読み取り可能なファイルにパスワードが保管されるのが一般的である。これをシャドウパスワードとよぶ。Linuxではパスワードポリシーやエージングなどパスワード全般の管理を行うshadow-utilsパッケージによりシャドウパスワードが提供されている。

Name Service Switch

ユーザを管理する方法として、企業ではADなどのディレクトリサービスが利用されることが多いが、個人や小規模サービスではローカルアカウントが利用されることが多い。これらはどちらか一方を排他的に使う物ではなく、両方とも併用できるものである。そのような複数の場所に存在しうるデータを、どこを、どの順番で検索するか決定するものとしてNSSがある。

NSSとは

Name Service Switch、NSSはシステムが使用するデータベースを、カテゴリ別にどの順で検索するか決定するスキームである。以下にその設定ファイルnsswitch.confの例を示す。

passwd:         files systemd
group:          files systemd
shadow:         files systemd
gshadow:        files systemd

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

この設定ではhosts（ホスト名）であればfiles(要はhostsファイル)、DNSによる名前解決の順に検索するという指定になっている。この中でユーザ、グループに関係するのがpasswd(ユーザ情報データベース)、group(グループ情報データベース)、shadow(ユーザパスワードデータベース)、gshadow(グループパスワードやグループメンバーなどのデータベース)である。

ユーザ・グループに関するデータベース

passwd

passwdはユーザアカウントを管理するデータベースである。ファイルでは/etc/passwdが該当する。

user:x:1000:1000:,,,:/home/user:/bin/bashのように1ユーザあたり1行で、:区切りの書式で書かれる。項目の一覧を以下に示す。

shadow

shadowはシャドウパスワードに関する情報を含むデータベースである。ファイルでは/etc/shadowが該当する。

user:<暗号化パスワード>:20000:7:90:14:30::のように1ユーザあたり1行で、:区切りの書式で書かれる。項目の一覧を以下に示す。

group

groupはグループを管理するデータベースである。ファイルでは/etc/groupが該当する。

group:x:1000:user1,user2のように1グループあたり1行で、:区切りの書式で書かれる。項目の一覧を以下に示す。

gshadow

gshadowはグループのシャドウパスワードを管理するデータベースである。ファイルでは/etc/gshadowが該当する。

test:!:1001:user2,user1 のように1行あたり1行で、:区切りの書式で書かれる。項目の一覧を以下に示す。

データベースのエントリー

getent - Get Entries from NSS

getentはNSSにあるデータベースからエントリーを取得する。

getent データベース [キー]

passwdデータベースから、キーがrootの情報を取り出す例を示す。

getent passwd root
root:x:0:0:root:/root:/bin/bash

キーを指定しなかった場合、全てのエントリを表示する。

getent group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog,user
(略)

shadow、gshadowのデータベースにアクセスするには管理者権限が必要である。

sudo getent shadow user
[sudo] password for yourname:
user:$y$j9(省略)0V03:20140:0:99999:7:::

ユーザ、グループの作成・管理

ユーザの管理

useradd / adduser - Add User

ユーザを追加する。

useradd [-r | --system] [option] USERNAME
adduser [--system] [option] USERNAME

オプションでpasswdやshadowに保存される設定の一部を指定できる。コマンドオプションで指定できない項目でデフォルトと異なる値を指定したい場合は、ユーザ作成後にpasswdコマンドで設定する。各コマンドで、項目を設定するオプションを示す。

それ以外の動作に関するオプションを示す。

adduser

adduserは以下の特徴を持つユーザ追加スクリプトである。

• useraddに比べてユーザフレンドリー
• 対話式で入力するパスワード
• confファイルで詳細な設定を指定可能
  • /etc/adduser.confにデフォルトのユーザ設定があり、デフォルト設定を変えることができる。また--confオプションで使用するconfファイルを指定でき、繰り返し同じ設定のユーザを作成する場合、confファイルを作って使い回すことができる。
• adduserが無い環境あり

以下にadduserの実行例を示す。作成した内容やIDが表示されていることが分かる。

sudo adduser user3
[sudo] password for admin:
info: Adding user `user3' ...
info: Selecting UID/GID from range 1000 to 59999 ...
info: Adding new group `user3' (1004) ...
info: Adding new user `user3' (1004) with group `user3 (1004)' ...
info: Creating home directory `/home/user3' ...
info: Copying files from `/etc/skel' ...
New password:
Retype new password:
passwd: password updated successfully
Changing the user information for user3
Enter the new value, or press ENTER for the default
        Full Name []:
        Room Number []:
        Work Phone []:
        Home Phone []:
        Other []:
Is the information correct? [Y/n] y
info: Adding new user `user3' to supplemental / extra groups `users' ...
info: Adding user `user3' to group `users' ...

useradd

useraddは以下の特徴を持つユーザ追加コマンドである。

• コマンドオプションで指定するパスワード
• デフォルト値を変更可能

以下にuseraddの実行例を示す。基本的には何も表示されない。

sudo useradd user4
[sudo] password for admin:
getent passwd user4
user4:x:1005:1005::/home/user4:/bin/sh

ユーザ作成時のデフォルト設定

adduserとuseraddでコマンドオプションで指定しなかった項目はそれぞれのデフォルト値が使われる。useraddが使うデフォルト値が定義された/etc/default/useraddの内容の一部を示す。

# デフォルトのログインシェル
SHELL=/bin/sh

# 既存のグループの値
# ただしデフォルトの挙動ではユーザ名と同名のグループを作成し、それをプライマリグループとするため-gか-Nオプションが指定された場合に使用されうる。
# GROUP=100

# デフォルトのホームディレクトリ
# HOME=/home

# パスワードが失効してからアカウントが無効化されるまでの期間のデフォルト
# INACTIVE=-1

# ユーザが失効するまでの日のデフォルト
# EXPIRE=

これらの値は環境により異なるが、adduserとuseraddの間でもデフォルト値が異なることがあるので注意する。

usermod - Modify User

ユーザのpasswdデータベース情報を更新する。またはユーザをロック・アンロックする。

usermod [option] USERNAME

usermodのオプションは基本的にはuseraddと同じであるため、useraddの項を参照すること。ただし、所属するグループを変更するときは、変更後の値を指定することに注意が必要である。たとえば、セカンダリグループがusersのユーザがセカンダリグループadmに追加で所属する場合はusermod -G users,adm USERNAMEとするか、差分追加を行う-aオプションと併用する。同様に差分削除する-rオプションもある。以下に例を示す。

groups
user1 users
sudo usermod -G adm user1
groups
user1 adm                 # NOTE:usersの所属から外れている
sudo usermod -G adm,users user1
groups
user1 adm users
sudo usermod -a -G user2 user1
groups
user1 adm users user2
sudo usermod -r -G adm user1
groups
user1 users user2

useraddにはないusermod独自のオプションとして、ユーザをロック・アンロックするオプションがある。

ユーザパスワードをロックするとshadowデータベースのパスワードの頭にロックを示す!が付与される。このロックはパスワードを使用できなくするものであり、アカウントがロックされているわけではない。アカウントをロックするにはEXPIREDATEを1にすると良い。実際に、パスワードをロックしたユーザに、パスワード不要なsuを行うことでユーザにログインする例を示す。

whoami
user
sudo getent shadow user3
user3:$y$j9T$(省略):20158:0:99999:7:::
sudo usermod --lock user3
sudo getent shadow user3
user3:!$y$j9T$(省略):20158:0:99999:7:::
sudo su user3
whoami
user3
exit
whoami
user
sudo usermod --expiredate 1 user3
sudo su user3
Your account has expired; please contact your system administrator.
su: Authentication failure

userdel / deluser - Delete User

ユーザを削除する。

userdel [option] USERNAME
deluser [option] USERNAME

userdel

userdelコマンドはユーザを削除する。同名のユーザグループがある場合、他にユーザが所属していなければグループも削除する。deluserが利用可能な場合、deluserの使用が推奨されている。

deluser

deluserスクリプトはユーザを削除する。userdelコマンドとの大きな違いとしてバックアップ機能がある。

passwd - Change User Password

passwdはユーザのパスワードまたはパスワードのエージングに関する設定を変更する。自身のパスワードを変更するときはユーザ名を省略できる。

passwd [option] USERNAME

グループの管理

グループの管理もユーザとほぼ同じコマンドの考え方で行える。コマンド別の主要オプションを示す。

groupadd / addgroup - Add Group

グループを追加する。

groupadd [-r | --system] [option] GROUPNAME
addgroup [--system] [option] GROUPNAME

groupdel / delgroup - Delete Group

グループを削除する。いずれもプライマリグループにしているユーザがいるグループは削除しないため、あらかじめ利用者を除外する。

groupdel [option] GROUPNAME
delgroup [--system] [option] GROUPNAME

groupdelの独自オプション

delgroupの独自オプション

groupmod - Modify Group

グループのgroupデータベース情報を更新する。

groupmod [option] GROUPNAME

gpasswd - Administrate Group

グループのパスワード、管理者、所属メンバなど、group・gshadowデータベース情報を更新する。またはグループをロック・アンロックする。

gpasswd [option] GROUPNAME

グループのロックは、ユーザのパスワードロックと同じく、パスワードを使用できなくするものである。つまり、newgrpを使ってパスワードによりグループの権限を取得することができなくなるが、グループに所属しているユーザには影響しない。

ファイルの直接編集

vipw / vigw - Edit passwd / group

passwd または groupファイルを直接編集する。-sオプションを付けるとシャドウファイルを直接編集する。

vipw [-s]
vigr [-s]

ユーザ・グループの切り替え

現在のユーザ、グループの確認

id - Print IDs

ユーザのUID、GID（プライマリおよびセカンダリ）を全て表示する。

id [option] USER

ユーザを指定しない場合、現在のユーザに関するIDが表示される。本稿では詳細は記載しないがUIDやGIDだけを表示するオプションもある。

id
uid=1000(user1) gid=1000(user1) groups=1000(user1),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),100(users)

whoami - Print Username

現在有効なユーザの名前を表示する。id -unと同じ結果となる。

whoami

groups - Print Groups

現在有効な所属するグループを表示する。ユーザの指定がない場合、現在有効なユーザのグループが表示される。

groups [option] [USER1 ...]

ユーザを指定する場合と指定しない場合だと、ユーザ名が表示される/されないの違いがある。

whoami
user2
groups
user2 adm user1 support
groups user2
user2 : user2 adm user1 support

ユーザ・グループの切り替え

su - Switch User

ユーザを切り替える。権限が上のユーザに切り替える場合、一般に切り替え先ユーザのパスワードが要求される。切り替え先ユーザが指定されない場合、rootへの切り替えとなる。

su [オプション] [-] [切り替え先ユーザ [引数]]

後方互換性の維持のため、デフォルトではカレントディレクトリやHOME変数などが引き継がれる。通常、-または--loginを指定することで環境が混在しないようにし、副次的な影響が発生しないようにする。

sg - Switch Group

グループを切り替え、指定のコマンドを実行する。コマンドは/bin/shで実行される。

sg [-] 切り替え先グループ 実行コマンド

指定したコマンドの実行が終了し、sgコマンドが完了すると、グループは元の状態となる。

groups
user1 users lsuser
sg lsuser 'groups'
lsuser users user1
groups
user1 users lsuser

newgrp - New Group

プライマリグループを切り替えた新しいセッション(サブシェル)を開始する。グループが指定されなかったときはpasswdデータベースにあるプライマリグループに切り替える。sgと似ているが、コマンドは指定できない。

groups [-] [GROUP]

以下にプライマリグループをuser3、デフォルトの順で切り替える例を示す。所属していないユーザが、パスワードが設定されたグループに切り替える場合、通常はパスワードが求められる。

id
uid=1009(user2) gid=1003(user2) groups=1003(user2),4(adm),1002(user1),1009(support)
newgrp user3
Password:
id
uid=1009(user2) gid=1010(user3) groups=1010(user3),4(adm),1002(user1),1003(user2),1009(support)
newgrp
id
uid=1009(user2) gid=1003(user2) groups=1003(user2),4(adm),1002(user1),1009(support),1010(user3)
exit
exit
id
uid=1009(user2) gid=1010(user3) groups=1010(user3),4(adm),1002(user1),1003(user2),1009(support)
exit
exit
id
uid=1009(user2) gid=1003(user2) groups=1003(user2),4(adm),1002(user1),1009(support)

グループにパスワードが設定されていないときはパスワードは問われない。

id
uid=1009(user2) gid=1003(user2) groups=1003(user2),4(adm),1002(user1),1009(support)
newgrp adm     # admは所属しているグループ
id
uid=1009(user2) gid=4(adm) groups=4(adm),1002(user1),1003(user2),1009(support)

パスワード認証が要求される状況では、パスワードがロックされているグループには切り替えられない。

user@pc:~$ sudo getent gshadow user3
user3:!::      # user3グループはパスワードがロック(!)されている
user@pc:~$ newgrp user3
Password:      # パスワードが必要だがロックされているので切り替えられない
Invalid password.
user@pc:~$ sudo newgrp user3
root@pc:/home/user1$ id
uid=0(root) gid=1010(user3) groups=1010(user3),0(root)  # rootならパスワード無しでuser3に入れる

なお、suコマンドと同じように-を指定すると環境変数やカレントディレクトリを引き継がず、新しいログインセッションのように環境を再初期化する。

一時的な権限の使用

sudo - SuperUser Do

コマンドをセキュリティポリシーにより決まる必要な権限で実行する。デフォルトのセキュリティポリシーとしてsudoersが使われる。sudoersの内容および設定方法は次のvisudoの項目で触れる。

sudo [オプション] [ユーザの指定] [グループの指定] [ホストの指定] [ディレクトリの指定] [シェルの指定] [実行するコマンド]

-l(--list)オプションを使うと、セキュリティポリシーの内容を確認できる。デフォルトでは自分の現在のホストにおけるポリシーが表示されるが-U(ポリシーを確認するユーザ)などで確認するポリシーを指定できる。

sudo -l
Matching Defaults entries for user1 on mypc:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
    use_pty

User user1 may run the following commands on mypc:
    (ALL : ALL) NOPASSWD: /usr/bin/ls

必要であればsudoは認証を要求し、許可されていれば認証結果をキャッシュする。認証キャッシュは更新または失効できる。

visudo - Vi Sudoers

visudoは安全にsudoersファイルを編集する。visudoは、sudoersファイルの同時編集の防止、構文エラーや正当性の検証機能を提供する。visudoが使用するエディタはsudoersの設定により異なるが、環境変数SUDO_EDITOR、VISUAL、EDITORや/usr/bin/editorなどが使われる。

visudo [オプション] [-] [-f sudoersファイル]

間違った編集をするとメッセージを表示し、修正を促す。

/etc/sudoers:59:35: expected a fully-qualified path name
%lsuser ALL = (ALL:ALL) NOPASSWD: ls
                                  ^~
What now?
Options are:
  (e)dit sudoers file again
  e(x)it without saving changes to sudoers file
  (Q)uit and save changes to sudoers file (DANGER!)

sudoers

sudoersファイルの基本構文を以下に示す。

user host = [(runAs)] [option ...] [tag: ...] command[, ...]

sudoersには誰が、どのホストで、どのユーザになって、どういう条件で、何ができるかを書く

sudoersの設定例

ためしに、lsコマンドを自由に実行できるlsuserグループを作成してみる。まずはsudoersに以下の内容を追記する。

%lsuser ALL = (ALL:ALL) NOPASSWD: /usr/bin/ls

次にuser1をlsuserグループに所属させる。

sudo addgroup lsuser
info: Selecting GID from range 1000 to 59999 ...
info: Adding group `lsuser' (GID 1011) ...
sudo gpasswd -a user1 lsuser
Adding user user1 to group lsuser

最後に、user1がそのままでは見られないところをsudo lsで見てみると、パスワード無しで見ることができる。

whoami
user1
id
uid=1001(user1) gid=1002(user1) groups=1002(user1),100(users),1011(lsuser)
ls /home/user3
ls: cannot open directory '/home/user3': Permission denied
sudo ls /home/user3
user3file

lsuserに所属していないuser2で同じことをするとsudoでエラーになる。

whoami
user2
id
uid=1009(user2) gid=1003(user2) groups=1003(user2),100(users)
ls /home/user3
ls: cannot open directory '/home/user3': Permission denied
sudo ls /home/user3
[sudo] password for user2:
user2 is not in the sudoers file.

sudo -l
Matching Defaults entries for user1 on mypc:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin,
    use_pty

User user1 may run the following commands on mypc:
    (ALL : ALL) NOPASSWD: /usr/bin/ls
    (ALL : ALL) PASSWD: /usr/bin/ls
    (ALL : ALL) PASSWD: /usr/bin/su
sudo ls /home/user3
[sudo] password for user1: # パスワードが要求される
user3file

アクセス制御リスト

ファイルとディレクトリは、ファイルの所有者、所有グループ、それ以外の3つに分けた権限セットが設定される。逆に言えば、この権限セットではユーザごとに異なる権限を設定できない。これの実現にはアクセス制御リスト（ACL）を使う。

ACLのサポート対象

ACLをサポートするファイルシステムはカーネルにより異なる。Ubuntu 24ではext2/3/4やxfsがサポートされる。また、ファイルシステムをマウントするときにACLオプションを有効にする必要がある。Ubuntu 24ではデフォルトで有効になっていた。

ACLエントリ

ACLはACLエントリのリストである。

タグタイプ

ACLエントリには6種類のタグタイプがある。

ACLの評価は以下の順で行われる。

1. 現在有効なユーザIDがファイル所有者である場合
   • ACL_USER_OBJで許可されている操作なら許可、されていなければ拒否
2. 現在有効なユーザIDがACL_USERと一致する場合
   • ACL_USERとACL_MASKを組み合わせた結果が許可されている操作なら許可、されていなければ拒否
3. 現在有効なグループ（プライマリとセカンダリ）がACL_GROUP_OBJまたはACL_GROUPと一致する場合
   • ACL_GROUP_OBJ、ACL_GROUP、ACL_MASKを組み合わせた結果が許可されている操作なら許可、されていなければ拒否
4. ACL_OTHERで許可されている操作なら許可
5. 拒否

テキストフォーマットのエントリ

ACLエントリは以下のテキストフォーマットで表される。

種類:識別子:権限

ACLの取得・設定

ACLの設定はsetfacl、取得はgetfaclで行える。

getfacl - Get File ACL

getfaclはファイルのACLを表示する。特にACLを設定しない状態ではファイルのアクセス権がACL形式で表示されるのみである。

getfacl [オプション] ファイル

chmodによりACLの内容が変化する例を示す。

getfacl testfile
# file: testfile
# owner: user2
# group: user2
user::rw-
group::rw-
other::r--

chmod 644 testfile
getfacl testfile
# file: testfile
# owner: user2
# group: user2
user::rw-
group::r--
other::r--
Bash

setfacl - Set File ACL

setfaclでファイルのACLを設定する。-mまたは-Mで追加・編集、-xまたは-Xで削除する。

setfacl {-m|-x} ACL 対象のファイル
setfacl {-M|-X} ACLが書かれたファイル 対象のファイル

user3に対しtestfileへ書き込み権限を与えるコマンドを実行する。

getfacl testfile
# file: testfile
# owner: user2
# group: user2
user::rw-
group::r--
mask::rw-
other::r--
setfacl -m user:user3:rw testfile
getfacl testfile
# file: testfile
# owner: user2
# group: user2
user::rw-
user:user3:rw-
group::r--
mask::rw-
other::r--

user3で権限の変化を確認してみる。

echo 'before' > testfile
bash: testfile: Permission denied
# ここで権限付与が行われた
echo 'after' > testfile
cat testfile
after

権限を削除するとき、パーミッションは指定しない。

setfscl -x user:user3:rw testfile
setfacl: Option -x: Invalid argument near character 12
setfacl -x user:user3: testfile
getfacl testfile
# file: testfile
# owner: user2
# group: user2
user::rw-
group::r--
mask::r--
other::r--

パーミッションの表示

ACLを設定すると、lsなど一部コマンドの出力が変化する。

 ll
total 12
drwxrwxr-x  2 root  users 4096 Mar 15 13:18 ./
drwxr-xr-x  6 root  root  4096 Mar 15 13:08 ../
-rw-rw-r--+ 1 user2 user2    5 Mar 15 13:18 testfile

パーミッションの末尾にあるプラス記号は、このファイルにACLが設定されていることを示している。このプラス記号が表示されている場合、実際の権限と表示上の権限が一致しないことがある。上の表示ではtestfileのuser2グループは読み込み・書き込みができる権限を持っているように見えるが、実際はそうではない。

getfacl testfile
# file: testfile
# owner: user2
# group: user2
user::rw-
user:user3:rw-
group::r--
mask::rw-
other::r--

getfaclの結果を見ると、user2グループは読み込み権限しかない。lsコマンドの結果はmask::rw-により、最大で読み込み、書き込み権限を持つグループがあるという程度の意味になっている。要は、プラス記号が付いているファイルの権限はACLで確認しなさいということである。

デフォルトACL

デフォルトACLを設定されたディレクトリでファイル・フォルダを作成すると、自動でそのACLが適用される。デフォルトACLはACLエントリの頭にdefault:を付けたものになる。

default:ACLエントリ

デフォルトACLを設定するときはsetfaclでこのフォーマットでACLを指定するか、--defaultオプションを使っても良い。

mkdir defdir
setfacl --default -m u::rwx,g::rwx,o::- defdir
setfacl -m d:g:user3:- defdir
getfacl defdir
# file: defdir
# owner: user3
# group: user3
user::rwx
group::rwx
other::r-x
default:user::rwx
default:group::rwx
default:group:user3:---
default:mask::rwx
default:other::---

このディレクトリでファイルを作成すると、最初からACLが適用されている。

ls -l
total 0
touch sample.txt
ls -l
total 0
-rw-rw----+ 1 user3 user3 0 Mar 15 14:10 sample.txt
getfacl sample.txt
# file: sample.txt
# owner: user3
# group: user3
user::rw-
group::rwx                      #effective:rw-
group:user3:---
mask::rw-
other::---

mkdir defdir
setfacl --default -m u::rwx,g::-,o::- defdir
getfacl defdir
# file: defdir
# owner: user3
# group: user3
user::rwx
group::rwx
other::r-x
default:user::rwx
default:group::---
default:other::---

touch defdir/sample
getfacl defdir/sample
# file: defdir/sample
# owner: user3
# group: user3
user::rw-
group::---
other::---

mkdir subdir
getfacl subdir
# file: subdir
# owner: user3
# group: user3
user::rwx
group::rwx
other::---
default:user::rwx
default:group::rwx
default:other::---

getfacl .
# file: .
# owner: user3
# group: user3
user::rwx
group::rwx
other::r-x
default:user::rwx
default:group::---
default:other::---

mkdir subdir
getfacl subdir
# file: subdir
# owner: user3
# group: user3
user::rwx
group::---
other::---
default:user::rwx
default:group::---
default:other::---