Terminal in Linux – Benutzerverwaltung

Dieser Artikel ist der neute von 10 Teilen zum Thema Linux Terminal in 10 Teilen. Inhaltlich werden hier die Arten von Benutzer sowie das anlegen von Benutzern und Gruppen erläutert.

» Zur Übersicht der Artikelserie «

Grundlagen

Den ersten Benutzer bzw. die ersten beiden Benutzer,  legt man bei der Installation an. Wie sieht es nun mit weiteren Benutzern aus. Wie erstellt man diese, welcher Gruppe gehören Sie an usw. Diesen Fragen wollen wir im folgendem Artikel nachgehen. Wir verwenden natürlich das Terminal.

Ganz allgemein legt die Benutzerverwaltung fest, wer auf welche Dateien zugreifen darf, unter welchen Umständen ein Benutzer die Daten eines anderen Benutzers lesen oder verändern darf, wer welche Programme ausführen kann und wer auf welche Hardwarekomponenten zugreifen darf. Generell verfügt jeder Benutzer über ein persönliches Home-Verzeichnis. Für den Anmeldevorgang benötigt er natürlich ein Passwort und einen Benutzernamen.

Arten von Benutzern

Bei den meisten Linux Distributionen werden drei verschiedene Arten von Benutzer unterschieden. Systemverwalter, Standardbenutzer und Systembenutzer. Bei der Installation werden bereits zwei Benutzerkonten eingerichtet. Das Administrator-Konto root und ein Konto für einen normalen Benutzer – also ein Standardbenutzer. Der Administrator root besitzt alle Rechte im System. Er darf also alle Dateien ansehen, verändern, löschen, alle Programme ausführen und noch vieles mehr. Generell sollte man mit root Rechten immer vorsichtig umgehen. Denn das System kann damit auch schnell zerstört werden. Deshalb müssen auch immer weitere Benutzer eingerichtet werden, die weniger Rechte besitzen. Ein Standardbenutzer hat im Linux System uneingeschränkten Zugriff auf seine eigenen Dateien, aber einen eingeschränkten Zugriff auf den Rest des Systems. Ein weitere Benutzer ist der Systembenutzer. Dieser ist für die interaktive Arbeit am PC vorgesehen und wird für bestimmte Programme oder für den Zugriff auf bestimmte Komponenten verwendet. Man spricht in diesem Zusammenhang auch von einem Pseudokonto bzw. Pseudobenutzer.

Arten von Gruppen

Wenn mehrere Benutzer die gleichen Rechte auf eine Systemressource erhalten sollen, so bietet es sich immer an, diese über Gruppen zu organisieren. Der Vorteil liegt auf der Hand, falls ich ein Recht verändern möchte, so muss ich dies nur bei der Gruppe einmal vornehmen und nicht bei jedem einzelnen Benutzer. Linux unterschiedet zwei Gruppen. Die Primär-Gruppen und die Sekundär-Gruppen. Jeder im Linux System angelegte Benutzer muss immer Mitglied einer Gruppe sein. Diese Gruppe wird als Primär-Gruppe bezeichnet. Die Mitgliedschaft wird in der Benutzerdatenbank: “/etc/passwd” eingetragen. Falls der Benutzer noch Mitglied in anderen Gruppen ist, so wird dies ebenfalls in eine Benutzerdatenbank eingetragen. Der Eintrag für die Sekundär-Gruppe erfolgt in der Datei “/etc/group”. Die Passwörter für den Benutzer werden dabei verschlüsselt in der Datei “/etc/shadow” gespeichert. Die der Gruppe in der Datei “/etc/gshadow”.

Anlegen von Benutzern

Jede Distribution hat natürlich verschiedene grafische Tools zum anlegen von Benutzern. Unabhängig von der Distribution geht es meistens mit dem Terminal schneller. Linux bietet hierfür folgende Befehle:

useradd Neues Benutzer-Konto anlegen
usermod Bearbeiten bereits bestehender Benutzer-Konten
userdel Löschen von Benutzer-Konten

 

Jeder dieser Kommandos hat natürlich wieder viele mögliche Parameter. Da das merken der Optionen doch recht aufwendig ist, bietet die manual oder help hier wieder hilfreiche Informationen an.

Hile zum Useradd Kommando
Hilfe zum Useradd Kommando

Beispiel: Es wird der Benutzer it-learner welcher in der Gruppe schueler ist angelegt. Also Login-Shell erhält er die bash und als Kommentar wird it-learner und schueler eingetragen.  Da nur der root Benutzer anlegen darf, benötigen wir noch den sudo (switch user do) Befehl.

sudo useradd it-learner -c "it-learner,schueler"-g schueler -s /bin/bash

Jeder Benutzer und natürlich auch jede Gruppe erhält eine ID. Benutzer-ID wird als UID und die Gruppen-ID als GID bezeichnet. Linux verwendet intern nur diese ID´s zur Verarbeitung. Über den Befehl id kann man sich anzeigen lassen, in welchen Gruppen der aktuelle Benutzer ist.

Im obigen Beispiel haben wir bereits den Befehl sudo verwendet. Dieser ist nötig um temporär administrative Rechte zu erhalten. D. h. nur für dieses Kommando werden die root-Rechte verwendet. Falls man den Benutzer komplett wechseln möchte, so kann man auch su (switch user) verwenden.

Nachdem der Benutzer angelegt worden ist, ist in der Datei “/etc/passwd” der folgende Eintrag vorhanden.

Inhalt der Datei: etc/passwd
Inhalt der Datei: etc/passwd

Dieser Eintrag besteht aus 7 Felder, die die folgende Bedeutung besitzen:

Anmeldename:Passwort:UID:GID:Kommentar:Home-Verzeichnis:Login-Shell

Das Passwort steht natürlich nicht im Klartext drinnen sondern das “x”  verweist auf die Datei “etc/shadow”, wo das Passwort verschlüsselt drinnen steht. Die ID´s beginnen immer ab 1000. Bis  1000 sind Sie für das Linux System reserviert.

Auch die Datei “etc/shadow” hat einen neuen Eintrag erhalten:

Inhalt der Datei: etc/shadow
Inhalt der Datei: etc/shadow

Anmeldename:Passwort:Änderung:MinD:MaxD:Warnung:Frist:Sperre:reserviert

Das Ändern des Passwortes erfolgt über das Kommando passwd. Wobei natürlich normale Benutzer nur das eigene Passwort ändern dürfen. Der Administrator root darf alle Passwörter ändern. Das Passwort muss man zweimal hintereinander eintippen.

Anlegen von Gruppen

Auch hier gibt es distributionsunabhängige Kommandos.

groupadd Neue Gruppe erstellen
groupmod Bearbeiten bereits bestehender Gruppen
groupdel Löschen von Gruppeneinträgen

 

Beispiel: Anlegen der Gruppe Mitarbeiter. Wie bereits erwähnt, ist die GID frei wählbar (ab 1000).

sudo groupadd -g 1004 Mitarbeiter

Auch hier wird ein Eintrag in der Datei “/etc/group” vorgenommen.

Inhalt der Datei: etc/group
Inhalt der Datei: etc/group

 

 

Gruppenname:Passwort:GID:Benutzerliste

Das Passwort steht natürlich nicht im Klartext drinnen sondern das “x”  verweist auf die Datei “etc/gshadow”, wo das Passwort verschlüsselt drinnen steht. Sofern man für die Gruppe ein Passwort vergeben hat, wir dieses in die Datei “/etc/gshadow” verschlüsselt eingetragen.

Zuordnung von Benutzer zu Gruppen

Wenn man einen neuen Benutzer anlegt, wäre es sinnvoll diesen gleich eine ein entsprechende Gruppe mit aufzunehmen. Das Kommando usermod bietet hierfür genau die Möglichkeit.

Allgemeine Syntax:

usermod [-g Gruppe] [-G Gruppe1..] Benutzername
  • -g entspricht  der Primär Gruppe
  • -G entpricht der Sekundär Gruppe

 

» Teil 8 «          » Zur Übersicht der Artikelserie «          » Teil 10 «