機械翻訳について

ユーザーのアカウントおよび権限の確認

ロック解除されたユーザー・アカウントがないかシステムをチェックすることは、多くの場合、適切なセキュリティ・プラクティスとみなされます。たとえば、次のコマンドを使用します: 

for u in $(awk -F: '{print $1}' /etc/passwd;); do sudo passwd -S "$u"; done | sort

次のような出力結果が表示されます。 

adm L 2025-01-29 0 99999 7 -1
bin L 2025-01-29 0 99999 7 -1
chrony L 2025-06-13 -1 -1 -1 -1
clevis L 2025-08-28 -1 -1 -1 -1
...

このコマンドの出力で、2番目のフィールドは、ユーザー・アカウントがロックされている(L)、パスワードがない(NP)か、有効なパスワードがある(P)かを示します。 3番目のフィールドには、ユーザーがパスワードを最後に変更した日付が示されます。 残りのフィールドには、パスワードの最小経過期間、最大経過期間、警告期間、非アクティブ期間およびパスワードのステータスに関するその他の情報が示されます。 期間の単位は日数です。

保護されていないアカウントにパスワードを設定するには、passwdコマンドを使用します。

未使用のアカウントをロックするには、passwd -lコマンドを使用します。 userdelコマンドを使用して、アカウントを完全に削除することもできます。

注意:

システム・アカウントを保持する必要があります。 これらは、ユーザーIDが1000未満のアカウントです。

詳細は、passwd(1)およびuserdel(8)の各マニュアル・ページを参照してください。

ユーザー・パスワードのエージング方法を指定するには、次の表で説明する/etc/login.defsファイルの設定を編集します。

設定 説明

PASS_MAX_DAYS

パスワードを変更するまでに使用できる最大日数。 値が指定されていない場合、デフォルトの動作では、値を-1に設定し、制限を無効にします。

PASS_MIN_DAYS

パスワードを変更する間隔として許容される最大日数。 値が指定されていない場合、デフォルトの動作では、値を0に設定し、制限を無効にします。

PASS_WARN_AGE

パスワードの期限が切れる前に警告が表示される日数。 0の値は有効期限の日にのみ警告され、-1は警告を表示しません。 値が指定されていない場合、デフォルトの動作では警告は表示されません。

詳細は、login.defs(5)マニュアル・ページを参照してください。

ユーザー・アカウントが非アクティブになってからロックされるまでの期間を変更するには、usermodコマンドを使用します。 たとえば、次のように非アクティブ期間を30日に設定します。 

sudo usermod -f 30 username

新規ユーザー・アカウントのデフォルトの非アクティブ期間を変更するには、useraddコマンドを使用します。 

sudo useradd -D -f 30

-1は、非アクティブのためにユーザー・アカウントがロックされることはありません。

詳細は、useradd(8)およびusermod(8)の各マニュアル・ページを参照してください。

root以外のユーザー・アカウントのユーザーIDが0でないことを確認するには、次のコマンドを使用します。 

sudo awk -F":" '$3 == 0 { print $1 }' /etc/passwd

このコマンドの出力は次のとおりです。 

root

デフォルトのユーザー・アカウントとパスワードを作成するソフトウェアをインストールする場合、ベンダーのデフォルト・パスワードをただちに変更することは、適切なセキュリティ・プラクティスとみなされます。 OpenLDAPなどのLDAP実装を使用する集中ユーザー認証では、ユーザー認証および管理タスクを一元化できます。また、未使用のアカウントまたはパスワードなしのアカウントから発生するリスクを減らすことができます。

デフォルトでは、Oracle Linux 10システムは、ユーザーがrootとして直接サインインできないように構成されています。 初期システム・インストール中にrootユーザーが作成されていない場合は、指定ユーザーとしてサインインし、suまたはsudoコマンドを使用してrootユーザーとしてタスクを実行し、システム・アカウンティングで特権管理アクションを実行する任意のユーザーの元のユーザー名をトレースできるようにします。 sudoコマンドを使用して特定の管理タスクを実行する権限を特定のユーザーに付与するには、visudoコマンドを使用して/etc/sudoersファイルを構成します。

たとえば、次のエントリでは、sudoコマンドの使用時にユーザーuser1rootと同じ権限が付与されており、一方、user2には、systemctlrpmおよびdnfなどのコマンドを実行できるように、限定された権限が定義されています。 

user1           ALL=(ALL)       ALL
user2           ALL= SERVICES, SOFTWARE

ユーザー・アカウントおよび認証の設定の詳細は、『Oracle Linux 10 システム・ユーザーおよび認証の設定』を参照してください。