「シャドウパスワードを解除する必要が出てきたけど、どうすればいいのか分からない」
Linuxのパスワード管理の仕組みを理解しておくことは、セキュリティ対策の基本です。
この記事では、
pwunconv コマンドでシャドウパスワードを解除する方法を解説します。シャドウパスワードの仕組み、pwunconvの実行手順、pwckでの事前チェック、pwconvでの再シャドウ化、セキュリティ上の注意点まで、パスワード管理に必要な知識をまとめました。・
pwunconv コマンドでシャドウパスワード(/etc/shadow)を解除できる・実行前に
pwck でパスワードファイルの整合性チェックが必要・解除後は暗号化パスワードが /etc/passwd に統合され /etc/shadow が削除される
・
pwconv で元のシャドウ化状態に戻せる・通常の運用でシャドウパスワードを解除する必要はない(セキュリティリスクあり)
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
シャドウパスワードとは
Linuxでは、ユーザーのパスワード情報を2つのファイルに分けて管理しています。・/etc/passwd:ユーザー名、UID、ホームディレクトリ等の基本情報。全ユーザーが読み取り可能
・/etc/shadow:暗号化されたパスワード。rootのみ読み取り可能
この仕組みが「シャドウパスワード」です。パスワードハッシュを一般ユーザーが読めない/etc/shadowに分離することで、パスワード解析攻撃のリスクを軽減しています。
# /etc/passwdのパスワード欄が「x」ならシャドウ化済み $ grep tomohiro /etc/passwd tomohiro:x:1001:1001::/home/tomohiro:/bin/bash # 「x」=パスワードは/etc/shadowに保存されている
pwunconvでシャドウパスワードを解除する
pwunconv コマンドを実行すると、/etc/shadowのパスワード情報が/etc/passwdに統合され、/etc/shadowファイルが削除されます。※ root権限が必要です。
1. pwckで事前チェックを行う
pwunconvを実行する前に、pwck でパスワードファイルの整合性をチェックします。不整合があるとpwunconvが正しく動作しません。# パスワードファイルの整合性チェック # pwck user 'adm': directory '/var/adm' does not exist pwck: no changes
2. pwunconvを実行する
# シャドウパスワードを解除 # pwunconv # 実行後の確認 # ls /etc/shadow ls: cannot access '/etc/shadow': No such file or directory # /etc/passwdにパスワードハッシュが含まれている # grep tomohiro /etc/passwd tomohiro:$6$xZ.YNf/O$KJovf6Z...:1001:1001::/home/tomohiro:/bin/bash
pwconvで再シャドウ化する
シャドウパスワードを元に戻す(再シャドウ化する)にはpwconv を実行します。# シャドウパスワードを有効化 # pwconv # /etc/shadowが再作成される # ls -l /etc/shadow -r-------- 1 root root 1234 Mar 24 10:00 /etc/shadow
セキュリティ上の注意
通常の運用では、シャドウパスワードを解除する必要はありません。解除すると、暗号化されたパスワードハッシュが全ユーザーから読み取り可能になり、オフラインでのパスワード解析攻撃のリスクが高まります。シャドウパスワードの解除は、以下のような特殊なケースでのみ実施してください。
・NIS(Network Information Service)を使用する環境での互換性確保
・/etc/shadowファイルが破損した場合の復旧作業
・教育目的でパスワード管理の仕組みを学習する場合
解除した場合は、作業完了後に必ず
pwconv で再シャドウ化してください。本記事のまとめ
| やりたいこと | コマンド |
|---|---|
| パスワードファイルの整合性チェック | pwck |
| シャドウパスワードを解除する | pwunconv |
| シャドウパスワードを有効化する | pwconv |
| シャドウ化の状態を確認する | grep ユーザー名 /etc/passwd(x=シャドウ化済み) |
Linuxのパスワード管理の仕組みを理解して、サーバーセキュリティを強化したいですか?
シャドウパスワードの仕組みを正しく理解することは、Linuxサーバーのセキュリティ管理の第一歩です。
ネットの切れ端の情報をコピペするだけでなく、現場で通用する安全なLinuxサーバー構築の「型」を体系的に身につけたい方へ、『Linuxサーバー構築入門マニュアル(図解60P)』を完全無料でプレゼントしています。
「独学の時間がもったいない」「プロから直接、現場の技術を最短で学びたい」という本気の方には、2日で実務レベルのスキルが身につく【初心者向けハンズオンセミナー】も開催しています。
3,100名以上が実践した「型」を無料で公開中
プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。
登録10秒/合わなければ解除3秒 / 詳細はこちら
この記事を書いた人
宮崎 智広(みやざき ともひろ)
株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として15年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。
趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。
無料メルマガで学習を続ける
Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。
登録無料・いつでも解除できます