Next: 2.4 パスワードエディター /usr/ucb/vipw Up: 2. ユーザ登録・ユーザ管理 Previous: 2.2 パスワードファイル /etc/passwd の構造

shadow の構造

　シャドウファイルは、ユーザのパスワードを暗号化して格納するファイルです。このファイルは、一般のユーザからは読めず、スーパーユーザしか読むことができません。
　このような面倒な２重化をしたのは、
　　パスワードファイルを読めなくすると、一般ユーザがログインできなくなってしまう。
　　パスワードファイルを公開すると、最近の高性能なコンピュータを使うことで、暗号を解読することができてしまう。
　という問題があるからです。
このファイルの内容例を掲げます。

root:/F4Dujeq2Pp6k:10337::::::
root2:xHNuzvZ9XXhYA:10440::::::
daemon:NP:6445::::::
bin:NP:6445::::::
sys:NP:6445::::::
adm:NP:6445::::::
lp:NP:6445::::::
smtp:NP:6445::::::
uucp:NP:6445::::::
nuucp:NP:6445::::::
listen:*LK*:::::::
nobody:NP:6445::::::
noaccess:NP:6445::::::
user10:*LK*:::::::

　シャドウファイルの各行は、パスワードファイルの各行に１対１に対応しています。
　各フィールドの意味は、次の通りです。

　第１フィールド：　ユーザ名（ログイン名）
　第２フィールド：　暗号化されたパスワード
　第３フィールド：　パスワードの最終変更日
　第４フィールド：　変更可能最短期間（この期間を越えないと変更不可）
　第５フィールド：　未変更可能最長期間（この期間を越えたら変更必要）
　第６フィールド：　警告日（上記期日の何日前に警告するか）
　第７フィールド：　インアクティブ（ログインしないと無効になる日数）
　第８フィールド：　失効日（アカウント失効までの日数）
　第９フィールド：　フラグ（未使用）

　第２フィールド（パスワードフィールド）に、ＮＰや、＊ＬＫ＊　の書かれているユーザは、ログインが許可されていないことを表しています。
　この欄が空の場合は、パスワードを入れなくてもログインできます。
　ここに　＊　を書いておくと、ルートがパスワードを設定するまでログインできなくなります。
　実際のユーザ登録では、ここに　＊　を書いておき、後で述べる passwd コマンドでパスワードを設定します。
　
　第４～第８フィールドは、パスワード変更に関する管理を行うフィールドです。同じパスワードをいつまでも使い続けていると、パスワードを破られる原因となります。一定の時間が過ぎたら変更する習慣を付けさせることも重要です。このようなことをパスワードのエージング(aging)と言います。
　これらのフィールドは省略することもできます。以前のように、いつまでもパスワード変更しなくてもかまわないようにもできます。
　それぞれのフィールドを省略した場合の意味は、次のようになります。
　

　第４フィールド：　いつでもパスワードの変更ができる。
　第５フィールド：　いつまでもパスワード変更の必要なし。
　第６フィールド：　警告しない。
　第７フィールド：　ログインしなくても、パスワードは無効にならない。
　第８フィールド：　失効しない。

　第３フィールドには、1970年からの通しの日付が入りますが、直接入力するときには、計算できないので、適当な数値を入力してから、後でパスワードを変更すれば、正しい値に変更してくれます。

Noriyo Kanayama