Linuxのユーザー・グループ管理｜追加・削除・権限設定の基本操作ガイド

Linuxサーバーを複数人で利用する場合、適切なユーザー・グループ管理はセキュリティの根幹をなす重要な作業です。「誰がどのファイルにアクセスできるのか」「誰がsudo権限を持つのか」を正しく管理しなければ、情報漏洩や誤操作による障害のリスクが高まります。

本記事では、Linuxにおけるユーザーとグループの仕組みから、追加・削除・権限変更の具体的な操作手順までを実例付きで解説します。Linuxの基礎知識がある方を対象に、サーバー運用の実務で必要な管理スキルを体系的に紹介します。

Linuxのユーザー管理の仕組みを理解する

Linuxはマルチユーザーシステムであり、1台のサーバー上で複数のユーザーが同時に作業できます。各ユーザーはそれぞれ独立したアカウントを持ち、アクセス権限によって操作範囲が制限されます。

ユーザーの種類

Linuxには大きく分けて3種類のユーザーが存在します。

種類	説明	UID範囲（一般的）
rootユーザー	すべての権限を持つ管理者アカウント	0
システムユーザー	サービスやデーモンが使用するアカウント	1〜999
一般ユーザー	人間が使用する通常のアカウント	1000〜65534

rootユーザーはシステム上のあらゆる操作を実行できるため、日常的な作業でrootを使うことは避けるべきです。代わりに、一般ユーザーアカウントで作業し、管理者権限が必要な場合のみsudoを使用するのがベストプラクティスです。

ユーザー情報の管理ファイル

ユーザーの情報は主に以下のファイルで管理されています。

ファイル	内容
/etc/passwd	ユーザーアカウント情報（ユーザー名、UID、GID、ホームディレクトリ、シェル）
/etc/shadow	暗号化されたパスワードとパスワードポリシー情報
/etc/group	グループ情報
/etc/gshadow	グループのパスワード情報

/etc/passwdの各行は、コロン区切りで以下の情報を含みます。

username:x:1001:1001:Full Name,,,:/home/username:/bin/bash
   │     │  │    │      │              │            │
   │     │  │    │      │              │            └─ ログインシェル
   │     │  │    │      │              └─ ホームディレクトリ
   │     │  │    │      └─ コメント（GECOS）
   │     │  │    └─ プライマリGID
   │     │  └─ UID
   │     └─ パスワード（xは/etc/shadowを参照）
   └─ ユーザー名

これらのファイルの詳細な構造については、Linuxのディレクトリ構造ガイドで/etcディレクトリの役割と合わせて解説しています。

ユーザーの追加・変更・削除

ユーザーアカウントの管理は、サーバー運用で最も頻繁に発生する作業の一つです。ここでは基本的な操作手順を紹介します。

useraddでユーザーを追加する

# 基本的なユーザー追加（ホームディレクトリ自動作成）
$ sudo useradd -m tanaka

# パスワードの設定
$ sudo passwd tanaka
New password:
Retype new password:
passwd: password updated successfully

# 詳細なオプション指定でユーザー追加
$ sudo useradd -m \
  -d /home/tanaka \
  -s /bin/bash \
  -c "Tanaka Taro - Development Team" \
  -G sudo,developers \
  tanaka

useraddの主要なオプションは以下のとおりです。

オプション	説明
-m	ホームディレクトリを作成する
-d	ホームディレクトリのパスを指定
-s	ログインシェルを指定
-c	コメント（ユーザーの説明）を設定
-G	所属するサブグループを指定（カンマ区切り）
-g	プライマリグループを指定
-e	アカウントの有効期限を設定（YYYY-MM-DD）
-u	UIDを指定

なお、Ubuntu/Debianではadduserという対話式のコマンドも利用できます。adduserはuseraddのラッパーで、パスワード設定やホームディレクトリの作成を自動で行ってくれるため、手動操作では便利です。

usermodでユーザー情報を変更する

# ログインシェルを変更
$ sudo usermod -s /bin/zsh tanaka

# コメントを変更
$ sudo usermod -c "Tanaka Taro - Infrastructure Team" tanaka

# サブグループに追加（-aオプションが重要）
$ sudo usermod -aG docker tanaka

# アカウントをロック（ログイン不可にする）
$ sudo usermod -L tanaka

# アカウントのロックを解除
$ sudo usermod -U tanaka

# ユーザー名を変更
$ sudo usermod -l new_tanaka tanaka

特に注意すべき点は、サブグループ追加時の-aオプションです。-aを付けずに-Gだけを指定すると、指定したグループ以外のサブグループからすべて外れてしまいます。既存のグループ所属を維持したまま新しいグループを追加するには、必ず-aGを使いましょう。

userdelでユーザーを削除する

# ユーザーアカウントのみ削除（ホームディレクトリは残る）
$ sudo userdel tanaka

# ホームディレクトリとメールスプールも削除
$ sudo userdel -r tanaka

削除前に、そのユーザーが所有するファイルやプロセスを確認しておくことを推奨します。

# ユーザーが所有するファイルを検索
$ sudo find / -user tanaka 2>/dev/null

# ユーザーが実行中のプロセスを確認
$ ps -u tanaka

プロセスの確認方法については、プロセス管理の基本を参照してください。

グループの管理

グループは、複数のユーザーに対して一括で権限を設定する仕組みです。プロジェクトチーム単位や役割単位でグループを作成し、ファイルのパーミッションをグループに対して設定することで、効率的なアクセス管理を実現できます。

プライマリグループとサブグループ

Linuxのユーザーは必ず1つのプライマリグループに所属し、さらに複数のサブグループ（補助グループ）に所属できます。

プライマリグループ：ユーザーがファイルを作成した際にデフォルトで設定されるグループ。通常はユーザー名と同名のグループ
サブグループ：追加で所属するグループ。sudo権限の付与やプロジェクト別のアクセス制御に使用

# 自分のグループ所属を確認
$ groups
tanaka sudo developers docker

# 特定ユーザーのグループ所属を確認
$ groups tanaka

# より詳細な情報（UID、GID含む）
$ id tanaka
uid=1001(tanaka) gid=1001(tanaka) groups=1001(tanaka),27(sudo),1002(developers),998(docker)

グループの追加・変更・削除

# グループの作成
$ sudo groupadd developers

# GIDを指定してグループを作成
$ sudo groupadd -g 2000 project-a

# グループ名の変更
$ sudo groupmod -n new-developers developers

# グループの削除
$ sudo groupdel project-a

# グループに所属するユーザーの確認
$ getent group developers
developers:x:1002:tanaka,suzuki,yamada

グループを活用したアクセス制御の実践例

開発チームが共有で使うプロジェクトディレクトリを設定する例を紹介します。

# 開発チーム用グループの作成
$ sudo groupadd dev-team

# メンバーをグループに追加
$ sudo usermod -aG dev-team tanaka
$ sudo usermod -aG dev-team suzuki
$ sudo usermod -aG dev-team yamada

# 共有ディレクトリの作成
$ sudo mkdir -p /opt/projects/app

# ディレクトリの所有グループを設定
$ sudo chown root:dev-team /opt/projects/app

# グループメンバーに読み書き権限を付与
$ sudo chmod 2775 /opt/projects/app

ここで使用しているchmod 2775の先頭の2はSGID（Set Group ID）ビットです。SGIDが設定されたディレクトリ内に新しいファイルやサブディレクトリを作成すると、自動的に親ディレクトリのグループが継承されます。これにより、チームメンバーが作成したファイルが自動的にdev-teamグループに所属し、他のメンバーもアクセスできるようになります。

sudo権限の管理

一般ユーザーが管理者権限を必要とするコマンドを実行するためには、sudoが使われます。sudoの設定は/etc/sudoersファイルで管理されますが、このファイルの編集は必ずvisudoコマンドを使ってください。

sudoの基本設定

# sudoersファイルを安全に編集
$ sudo visudo

visudoは編集内容の文法チェックを行い、構文エラーがある場合は保存をブロックします。viやnanoで直接/etc/sudoersを編集すると、構文ミスによってsudo自体が使えなくなるリスクがあります。エディタの操作に慣れていない方は、Vimの基本操作ガイドも参考にしてください。

sudoersの設定例

# 特定ユーザーにすべてのsudo権限を付与
tanaka ALL=(ALL:ALL) ALL

# 特定グループにすべてのsudo権限を付与
%admin ALL=(ALL:ALL) ALL

# パスワード入力なしでsudoを実行可能にする
tanaka ALL=(ALL) NOPASSWD: ALL

# 特定コマンドだけsudo実行を許可
operator ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx, /usr/bin/systemctl restart mysql

セキュリティの観点からは、NOPASSWD設定はできる限り避け、必要なコマンドだけに限定してsudo権限を付与する方針が望ましいです。

sudoers.dディレクトリを活用した管理

/etc/sudoersファイルを直接編集する代わりに、/etc/sudoers.d/ディレクトリにファイルを配置する方法が推奨されています。この方法なら、ユーザーやグループごとに設定ファイルを分離でき、管理が容易になります。

# ユーザー別のsudo設定ファイルを作成
$ sudo visudo -f /etc/sudoers.d/tanaka

# ファイルの中身の例
tanaka ALL=(ALL:ALL) ALL

パスワードポリシーの設定

セキュリティを強化するためには、パスワードの有効期限や複雑さのルールを設定することが重要です。

chageでパスワードの有効期限を管理する

# パスワードの有効期限情報を表示
$ sudo chage -l tanaka
Last password change                    : Mar 15, 2026
Password expires                        : Jun 13, 2026
Password inactive                       : never
Account expires                         : never
Minimum number of days between password change  : 1
Maximum number of days between password change  : 90
Number of days of warning before password expires : 7

# パスワードの最大有効日数を90日に設定
$ sudo chage -M 90 tanaka

# パスワード変更の最小間隔を1日に設定
$ sudo chage -m 1 tanaka

# 有効期限の7日前から警告を表示
$ sudo chage -W 7 tanaka

# 次回ログイン時にパスワード変更を強制
$ sudo chage -d 0 tanaka

# アカウントの有効期限を設定
$ sudo chage -E 2026-12-31 tanaka

デフォルトのパスワードポリシーを設定する

新規ユーザー作成時に適用されるデフォルトのパスワードポリシーは/etc/login.defsで設定します。

# /etc/login.defs の主要なパスワード関連設定
PASS_MAX_DAYS   90    # パスワードの最大有効日数
PASS_MIN_DAYS   1     # パスワード変更の最小間隔
PASS_WARN_AGE   7     # 有効期限前の警告日数
PASS_MIN_LEN    12    # パスワードの最小文字数

これらの設定はLinuxセキュリティ強化の一環として、サーバー構築時に適切な値を設定しておきましょう。

ユーザー情報の確認と監査

運用中のサーバーで「現在どのようなユーザーが存在するか」「不審なアカウントがないか」を定期的に確認することは、セキュリティ監査の基本です。

ユーザー情報を確認するコマンド

# 現在ログイン中のユーザーを確認
$ who
tanaka   pts/0        2026-03-22 09:15 (192.168.1.100)
suzuki   pts/1        2026-03-22 10:30 (192.168.1.101)

# より詳細なログイン情報
$ w
 14:30:15 up 45 days,  3:22,  2 users,  load average: 0.52, 0.48, 0.41
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
tanaka   pts/0    192.168.1.100    09:15    0.00s  0.12s  0.00s w
suzuki   pts/1    192.168.1.101    10:30    3:45   0.08s  0.02s vim

# 最近のログイン履歴
$ last | head -20

# ログインに失敗した記録
$ sudo lastb | head -20

# 全ユーザー一覧（一般ユーザーのみ抽出）
$ awk -F: '$3 >= 1000 && $3 < 65534 {print $1, $3, $6}' /etc/passwd

# シェルが設定されているユーザー（ログイン可能なユーザー）を抽出
$ grep -v '/nologin\|/false' /etc/passwd

不要なアカウントの棚卸し

退職者のアカウントや、テスト用に作成した一時アカウントが残っていないかを定期的に確認しましょう。以下のスクリプトで、長期間ログインのないアカウントを検出できます。

#!/bin/bash
# 90日以上ログインのないアカウントを検出
echo "=== 90日以上ログインのないアカウント ==="
while IFS=: read -r user _ uid _ _ home shell; do
    if [ "$uid" -ge 1000 ] && [ "$uid" -lt 65534 ]; then
        last_login=$(lastlog -u "$user" 2>/dev/null | tail -1 | awk '{print $4, $5, $6, $9}')
        if echo "$last_login" | grep -q "Never logged in"; then
            echo "  $user: ログイン実績なし"
        fi
    fi
done < /etc/passwd

このような監査はcronによる定期実行で自動化し、ログ管理の一環として結果を記録しておくことを推奨します。

実務でのユーザー管理ベストプラクティス

最後に、実務でユーザー・グループ管理を行う際のベストプラクティスをまとめます。

セキュリティを重視した管理方針

rootでの直接ログインを禁止する：SSH設定でPermitRootLogin noを設定し、一般ユーザー + sudoの運用を徹底する（詳細はSSH接続ガイドを参照）
最小権限の原則を適用する：ユーザーには業務に必要な最小限の権限のみを付与する
共有アカウントを使わない：個人ごとにアカウントを作成し、操作の追跡を可能にする
不要なアカウントは速やかに無効化する：退職・異動時にアカウントをロックまたは削除する
パスワードポリシーを適用する：有効期限と複雑さの要件を設定する