pwunconvコマンドでシャドウパスワードを解除する方法

pwunconvコマンドでシャドウパスワードを解除する方法｜pwckでの事前チェックも

この記事の監修：宮崎智広（Linux教育歴15年以上・受講者3,100名超）

ＨＯＭＥ＞ Linux技術リナックスマスター.JP（Linuxマスター.JP）＞ Linuxtips ＞ pwunconvコマンドでシャドウパスワードを解除する方法｜pwckでの事前チェックも

「/etc/shadowファイルの仕組みを理解したい」
「シャドウパスワードを解除する必要が出てきたけど、どうすればいいのか分からない」
Linuxのパスワード管理の仕組みを理解しておくことは、セキュリティ対策の基本です。

この記事では、pwunconv コマンドでシャドウパスワードを解除する方法を解説します。
シャドウパスワードの仕組み、pwunconvの実行手順、pwckでの事前チェック、pwconvでの再シャドウ化、セキュリティ上の注意点まで、パスワード管理に必要な知識をまとめました。

「このままじゃマズい」と感じていませんか？

参考書を開く気力もない、同年代に取り残される不安——
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。

図解60P／登録10秒／解除も3秒／詳細はこちら

シャドウパスワードとは？

Linuxでは、ユーザーのパスワード情報を2つのファイルに分けて管理しています。

・/etc/passwd：ユーザー名、UID、ホームディレクトリ等の基本情報。全ユーザーが読み取り可能
・/etc/shadow：暗号化されたパスワード。rootのみ読み取り可能

この仕組みが「シャドウパスワード」です。パスワードハッシュを一般ユーザーが読めない/etc/shadowに分離することで、パスワード解析攻撃のリスクを軽減しています。

# /etc/passwdのパスワード欄が「x」ならシャドウ化済み $ grep tomohiro /etc/passwd tomohiro:x:1001:1001::/home/tomohiro:/bin/bash # 「x」=パスワードは/etc/shadowに保存されている

pwunconvでシャドウパスワードを解除する

pwunconv コマンドを実行すると、/etc/shadowのパスワード情報が/etc/passwdに統合され、/etc/shadowファイルが削除されます。

※ root権限が必要です。

1. pwckで事前チェックを行う

pwunconvを実行する前に、pwck でパスワードファイルの整合性をチェックします。不整合があるとpwunconvが正しく動作しません。

# パスワードファイルの整合性チェック # pwck user 'adm': directory '/var/adm' does not exist pwck: no changes

重大なエラーが表示されなければ問題ありません。

2. pwunconvを実行する

# シャドウパスワードを解除 # pwunconv # 実行後の確認 # ls /etc/shadow ls: cannot access '/etc/shadow': No such file or directory # /etc/passwdにパスワードハッシュが含まれている # grep tomohiro /etc/passwd tomohiro:$6$xZ.YNf/O$KJovf6Z...:1001:1001::/home/tomohiro:/bin/bash

/etc/shadowが削除され、/etc/passwdの2番目のフィールドに暗号化されたパスワードが直接格納されます。

pwconvで再シャドウ化する

シャドウパスワードを元に戻す（再シャドウ化する）には pwconv を実行します。

# シャドウパスワードを有効化 # pwconv # /etc/shadowが再作成される # ls -l /etc/shadow -r-------- 1 root root 1234 Mar 24 10:00 /etc/shadow

【重要】セキュリティ上の注意

通常の運用では、シャドウパスワードを解除する必要はありません。解除すると、暗号化されたパスワードハッシュが全ユーザーから読み取り可能になり、オフラインでのパスワード解析攻撃のリスクが高まります。

シャドウパスワードの解除は、以下のような特殊なケースでのみ実施してください。

・NIS（Network Information Service）を使用する環境での互換性確保
・/etc/shadowファイルが破損した場合の復旧作業
・教育目的でパスワード管理の仕組みを学習する場合

解除した場合は、作業完了後に必ず pwconv で再シャドウ化してください。

本記事のまとめ

やりたいこと	コマンド
パスワードファイルの整合性チェック	`pwck`
シャドウパスワードを解除	`pwunconv`
シャドウパスワードを有効化	`pwconv`
シャドウ化の状態を確認	`grep ユーザー名 /etc/passwd`（x=シャドウ化済み）

暗記不要・1時間後にはサーバーが動く

3,100名以上が実践した「型」を無料で公開中

プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。

登録10秒／合わなければ解除3秒／詳細はこちら

Linux無料マニュアル（図解60P）名前とメールで30秒登録

この記事を書いた人

宮崎智広（みやざきともひろ）

株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として15年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。

趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。