マルチユーザー環境でKerberosなどのネットワーク化された認証方法を使用していない場合は、システムの認証ファイルために高度な保護を提供するシャドウユーティリティ(シャドウパスワードともいいます)の使用を考慮すべきです。Red Hat Linuxのインストール時に、MD5パスワード(システム上の保存のためのパスワードを暗号化する代替的で安全性の高い方法)と同様に、デフォルトでシステムのシャドウパスワード保護が有効になります。
シャドウパスワードには、次のように、UNIXシステムとLinuxシステム上にパスワードを保存するこれまでの標準的な方法より優れているいくつかの利点があります。
暗号化されたパスワード(通常は/etc/passwd内に存在するもの)をrootにしか読み取れない/etc/shadowに移動することでシステムセキュリティを向上
パスワードの老朽化(パスワードが最後に更新されてからの期間)に関連する情報
ユーザーがパスワードの変更を要求されるまでパスワードを変更しなくても構わない期間の管理
/etc/login.defsファイルを使用して特にパスワードの老朽化に関するセキュリティポリシーを設定する機能
shadow-utilsパッケージには、次の内容をサポートする多数のユーティリティがあります。
通常のパスワードからシャドウパスワードへの変換とその逆の変換(pwconv、pwunconv)
パスワードファイル、グループファイル、それらに関連するシャドウファイルなどの検証(pwck、grpck)
ユーザーアカウントの追加、削除、変更などの業界標準の方法(useradd、usermod、userdel)
ユーザーグループの追加、削除、変更などの業界標準の方法(groupadd、groupmod、groupdel)
gpasswdを使用して/etc/groupファイルを管理する業界標準の方法
これらのユーティリティに関する要点がさらにいくつかあります。
これらのユーティリティは、シャドウを有効にしているかどうかに関係なく、正しく機能します。
これらのユーティリティは、Red Hatのユーザープライベートグループスキームをサポートするために多少変更されました。変更の説明については、useraddのmanページを参照してください。ユーザープライベートグループの詳細については、ユーザープライベートグループ項を参照してください。
adduserスクリプトは、/usr/sbin/useraddへのシンボリックリンクと置き換えられました。
shadow-utilsパッケージ内のツールは、Kerberos、NIS、hesiod、LDAPでは有効になりません。新規ユーザーはローカルに限定されます。KerberosとLDAPの詳細については、第11章と第19章を参照してください。