セキュリティ

SECURITY

公開：2024-06-16

/etc/shadowとは？意味をわかりやすく簡単に解説

text: XEXEQ編集部

/etc/shadowとは

/etc/shadowはUNIXやLinuxシステムにおいてユーザーのパスワード情報を安全に保管するための特別なファイルです。このファイルには各ユーザーのログイン名、暗号化されたパスワード、パスワードの有効期限、パスワードの最終変更日時などの重要な情報が格納されています。

/etc/shadowファイルはセキュリティ上の理由から、通常のユーザーからは読み取ることができない制限が設けられています。このファイルにアクセスできるのは管理者権限を持つrootユーザーのみとなっています。

パスワードの暗号化には安全性の高いハッシュ関数が使用されており、元のパスワードを復元することは非常に困難です。これにより、たとえ/etc/shadowファイルが流出したとしても、パスワードが直接漏洩するリスクを最小限に抑えることができます。

/etc/shadowファイルはパスワードの有効期限や変更履歴の管理にも使用されます。これにより、定期的なパスワード変更を促したり、古いパスワードの再利用を防いだりすることで、システムのセキュリティを向上させることができます。

システム管理者は/etc/shadowファイルを適切に管理し、必要な場合にのみアクセスするように注意する必要があります。また、/etc/shadowファイルのバックアップを定期的に取得し、安全な場所に保管することも重要です。

/etc/shadowのファイル形式と構造

/etc/shadowのファイル形式と構造に関して、以下3つを簡単に解説していきます。

• /etc/shadowのファイル形式
• /etc/shadowのエントリ構造
• /etc/shadowのパスワード情報の暗号化

/etc/shadowのファイル形式

/etc/shadowファイルはテキスト形式で保存されており、各行が1人のユーザーの情報を表しています。各行は複数のフィールドに分かれており、これらのフィールドはコロン(:)で区切られています。

/etc/shadowファイルの各行は以下のような形式で構成されています。

username:encrypted_password:last_change:min_days:max_days:warn_days:inactive_days:expiration_date:

/etc/shadowのエントリ構造

/etc/shadowファイルの各エントリはユーザー名、暗号化されたパスワード、パスワードの最終変更日時、パスワードの最小有効日数、パスワードの最大有効日数、パスワード有効期限の警告日数、アカウントの無効化日数、アカウントの有効期限などの情報を含んでいます。これらの情報はコロンで区切られた複数のフィールドに分けて保存されています。

例えば、以下のようなエントリが/etc/shadowファイルに含まれている場合があります。

john:$6$HcH6v6Ql$FfDmlGfT.dSZbLx8.ZcLK4FdN8nPYYxIfM4pWvhOo2.:18461:0:99999:7:::

/etc/shadowのパスワード情報の暗号化

/etc/shadowファイルに保存されているパスワード情報は安全性を確保するために暗号化されています。暗号化には通常、強力なハッシュ関数が使用されます。

現在よく使用されているハッシュ関数にはSHA-512やbcryptなどがあります。これらのハッシュ関数は元のパスワードから一方向の変換を行い、元のパスワードを復元することが非常に困難になっています。

/etc/shadowへのアクセス制限とパーミッション

/etc/shadowへのアクセス制限とパーミッションに関して、以下3つを簡単に解説していきます。

• /etc/shadowのアクセス制限の重要性
• /etc/shadowのパーミッション設定
• /etc/shadowへのアクセス方法

/etc/shadowのアクセス制限の重要性

/etc/shadowファイルにはユーザーの重要な認証情報が保存されているため、適切なアクセス制限を設けることが非常に重要です。もし/etc/shadowファイルが不正に読み取られた場合、攻撃者がパスワードの総当たり攻撃を行うことで、システムに不正アクセスされる可能性があります。

そのため、/etc/shadowファイルへのアクセスは管理者権限を持つrootユーザーのみに制限されています。一般ユーザーが/etc/shadowファイルを直接読み取ることはできません。

/etc/shadowのパーミッション設定

/etc/shadowファイルのパーミッションは通常、以下のように設定されています。

-rw-r----- 1 root shadow //etc/shadow

このパーミッション設定ではファイルの所有者であるrootユーザーのみが読み取りと書き込みを行うことができ、shadowグループに属するユーザーは読み取りのみが可能です。その他のユーザーは/etc/shadowファイルにアクセスすることができません。

/etc/shadowへのアクセス方法

管理者はrootユーザーとしてログインすることで、/etc/shadowファイルにアクセスすることができます。ただし、必要な場合にのみ/etc/shadowファイルにアクセスし、不必要なアクセスは避けるべきです。

また、管理者はユーザー管理のためのコマンドやツールを使用して、/etc/shadowファイルを間接的に操作することができます。例えば、passwdコマンドを使用してユーザーのパスワードを変更する際には/etc/shadowファイルが自動的に更新されます。

/etc/shadowを使用したユーザー認証プロセス

/etc/shadowを使用したユーザー認証プロセスに関して、以下3つを簡単に解説していきます。

• /etc/shadowを使用したログイン認証
• /etc/shadowとパスワードの照合
• /etc/shadowを利用した二要素認証

/etc/shadowを使用したログイン認証

ユーザーがシステムにログインする際、まず/etc/passwdファイルからユーザー名に対応するエントリを検索します。次に、/etc/shadowファイルから同じユーザー名のエントリを読み取り、暗号化されたパスワード情報を取得します。

ユーザーが入力したパスワードは/etc/shadowファイルから取得した暗号化されたパスワードと照合されます。照合の結果、パスワードが一致した場合、ユーザーの認証が成功し、システムへのアクセスが許可されます。

/etc/shadowとパスワードの照合

/etc/shadowファイルに保存されている暗号化されたパスワードはユーザーが入力したパスワードと直接比較することはできません。代わりに、ユーザーが入力したパスワードに対して、/etc/shadowファイルに記録されているハッシュ関数を適用し、得られたハッシュ値を比較します。

ハッシュ関数は一方向の変換であるため、暗号化されたパスワードから元のパスワードを復元することは非常に困難です。これにより、/etc/shadowファイルが流出した場合でも、パスワードが直接漏洩するリスクを最小限に抑えることができます。

/etc/shadowを利用した二要素認証

/etc/shadowファイルを利用して、パスワードに加えて二要素認証を実装することもできます。二要素認証ではパスワードに加えて、ワンタイムパスワード(OTP)やハードウェアトークンなどの別の認証要素を使用します。

二要素認証を実装する際、/etc/shadowファイルのエントリに追加のフィールドを設けて、OTPのシード値やトークンの情報を保存することができます。これにより、パスワードとOTPの両方が正しく入力された場合にのみ、ユーザーの認証が成功するようになります。

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧