シャドウユーティリティ

　マルチユーザー環境にいてPAMまたはKerberosを使用していない場合は、システムの認証ファイルために高度な保護を提供するシャドウユーティリティ（シャドウパスワードという)の使用を考慮すべきです。Red Hat Linuxのインストール時は、MD5 パスワード（システム上の保存のためのパスワードを暗号化する代替的で安全性の高い方法)と同様に標準でシステムのシャドウパスワード保護が有効になります。

　シャドウパスワードには、次のように、UNIXシステムとLinuxシステム上にパスワードを保存するこれまでの標準的な方法より優れているいくつかの利点があります。

• 暗号化されたパスワード(/etc/passwd内に通常見られるもの)をrootしか読み取れない/etc/shadowに移動することで向上したシステムセキュリティ

• パスワードの老朽化（パスワードが最後に更新されてからの期間)に関連する情報

• ユーザーがパスワードの変更を要求されるまでパスワードを変更しないでよい期間の管理

• /etc/login.defsファイルを使用して特にパスワードの老朽化に関するセキュリティポリシーを設定する機能

　shadow-utilsパッケージには、次の内容をサポートする多数のユーティリティがあります。

• 通常のパスワードからシャドウパスワードへの変換とその逆の変換（pwconv、pwunconv)

• パスワードファイル、グループファイル、それらに関連するシャドウファイルなどの検証（pwck、grpck)

• ユーザーアカウントの追加、削除、変更などの業界標準の方法（useradd、usermod、userdel)

• ユーザーグループの追加、削除、変更などの業界標準の方法（groupadd、groupmod、groupdel)

• gpasswdを使用して/etc/groupファイルを管理する業界標準の方法

注意

これらのユーティリティに関する要点がさらにいくつかあります。 これらのユーティリティは、シャドウパスワードを有効にしているかどうかに関係なく、正しく機能します。 これらのユーティリティは、Red Hatのユーザープライベートグループスキームをサポートするように多少変更されました。変更の説明については、useradd manページを参照してください。ユーザープライベートグループの詳細については、the section called ユーザープライベートグループ in Chapter 2を参照してください。 adduserスクリプトは、/usr/sbin/useraddへのシンボリックリンクと置き換えられました。 shadow-utilsパッケージ内のツールは、KerberosやLDAPでは有効になりません。新規ユーザーはローカルに限定されます。KerberosとLDAPの詳細については、Chapter 9とChapter 4を参照してください。