CentOSで管理作業用ユーザ、顧客側ユーザを作成する

2020年3月20日2020年11月9日

CentOSで管理作業用ユーザ、顧客側ユーザを作成する

　CentOSを利用する場合（多くのLinuxディストリでほぼ共通の概念だけど所作が違うのでここではCentOSについてのみ言及してます）、root権限でなんでもかんでも操作しているとえらいことになる恐れがあります。

そのため、適切にユーザを作成して作業をしていきましょう。

ここでは、システム管理者として環境構築やユーザー追加などの作業をするための管理作業用ユーザと、Web制作会社などに渡す接続情報としてのユーザ、同じサーバーに別の制作会社のためのディレクトリがある場合はもちろん、顧客にとって見られる必要のない上位階層などへのアクセスも制限する必要があるユーザとして主に顧客側のためのユーザを作成していきます。

管理作業用のユーザを作成する

まずは、rootで接続しましょう。接続できたら

# ユーザーを追加する
useradd ri2lab

として、ユーザを追加します。このとき、ri2labユーザが作成されますが、このコマンドだけだとhomeディレクトリ内にri2labユーザのディレクトリが作成されるだけです。

useraddはユーザが作成されてホームディレクトリが作成されるだけ

つまり

パスワードは設定されていない
権限も付与されていない
/home/ri2lab(ユーザ名)ディレクトリが作成されただけ
ri2lab(ユーザ名)として名前とディレクトリだけの存在

ということです。

パスワードを追加する

では、次にパスワードを追加します。

useraddをする段階でオプション指定でパスワードを追加することもできるのですが、それはしません。理由はuseraddで追加できるパスワードはすでに暗号化されたものを入力しなくてはならないからです。

# ユーザーにパスワードを設定する
passwd ユーザ名

passwdコマンドならパスワードの設定を平文入力することができます。

※平文とは暗号化される前のパスワードのことで暗号化された後の文字列はハッシュ化などと言ったりします。平文はいわゆる「覚えやすいパスワード」で、暗号化されたものは平文をアルゴリズムを通して複雑化し、容易に推測できなくする仕組みになっています。通常のパスワードは平文の場合、短いモノだと4文字程度（好ましくはない）で設定しますが、ハッシュ化することで256文字とか512文字とかそれ以上の文字数などに変換し、解読を困難にすることでセキュリティを高めます。また、ハッシュ化は基本的に不可逆変換（元に戻しにくい変換）ですので、暗号化されたパスワードを直接見ても、平文がなんだったのかを推測できません。そのため同じユーザーが利用している他のサービスのパスワードが何かを推測することもできず、様々な観点からセキュリティの効果を高めます。