LFCA: Lerne die Verwaltung von Benutzerkonten – Teil 5

Als Linux-Systemadministrator sind Sie damit beauftragt, den reibungslosen Ablauf aller IT-Operationen in Ihrer Organisation sicherzustellen. Angesichts der Tatsache, dass einige IT-Operationen miteinander verflochten sind, trägt ein Systemadministrator in der Regel viele Hüte, einschließlich des Database- oder Netzwerkadministrators.

Dieser Artikel ist Teil 5 der LFCA-Serie. Hier in diesem Teil werden Sie sich mit den allgemeinen Befehlen zur Systemverwaltung vertraut machen, um Benutzer in einem Linux-System zu erstellen und zu verwalten.

Benutzerverwaltung in Linux

Eine der Hauptaufgaben eines Linux-Systemadministrators besteht darin, Benutzer in einem Linux-System zu erstellen und zu verwalten. Jedes Benutzerkonto hat 2 eindeutige Kennungen: den Benutzernamen und die Benutzer-ID (UID).

Grundsätzlich gibt es 3 Hauptkategorien von Benutzern in Linux:

Root-Benutzer

Der Root-Benutzer ist der mächtigste Benutzer in einem Linux-System und wird normalerweise während des Installationsprozesses erstellt. Der Root-Benutzer hat absolute Macht im Linux-System oder einem anderen UNIX-ähnlichen Betriebssystem. Der Benutzer kann auf alle Befehle, Dateien und Verzeichnisse zugreifen und das System nach Belieben ändern.

Der Root-Benutzer kann das System aktualisieren, Pakete installieren und deinstallieren, andere Benutzer hinzufügen oder entfernen, Berechtigungen gewähren oder entziehen und jede andere Systemverwaltungsaufgabe ohne Einschränkungen ausführen.

Der Root-Benutzer kann praktisch alles auf dem System tun. Die Annahme bei Linux- und UNIX-ähnlichen Systemen ist, dass Sie genau wissen, was Sie mit dem System tun. Das heißt, der Root-Benutzer kann das System leicht zerstören. Alles, was Sie tun müssen, ist, einen fatalen Befehl auszuführen, und das System geht in Flammen auf.

Aus diesem Grund wird dringend davon abgeraten, Befehle als Root-Benutzer auszuführen. Stattdessen verlangt bewährte Praxis, dass Sie einen Sudo-Benutzer konfigurieren. Das bedeutet, einem normalen Benutzer Sudo-Berechtigungen zu gewähren, um bestimmte administrative Aufgaben auszuführen und einige Aufgaben nur dem Root-Benutzer vorzubehalten.

Normaler Benutzer

A regular user is a normal login user that can be created by a systems administrator. Usually, there is a provision to create one during the installation process. However, you can still create as many regular users as needed post-installation.

A regular user can only perform tasks and access files and directories for which they are authorized. If need be, a regular user can be granted elevated privileges to perform administrative-level tasks. Regular users can also be deleted or disabled when the need arises.

Dienstkonto

Dies ist ein nicht-anmeldefähiges Konto, das erstellt wird, wenn ein Softwarepaket installiert wird. Solche Konten werden von Diensten verwendet, um Prozesse im System auszuführen. Sie sind nicht dazu gedacht oder vorgesehen, routinemäßige oder administrative Aufgaben im System auszuführen.

Benutzerverwaltungsdateien

Informationen über Benutzer in einem Linux-System werden in den folgenden Dateien gespeichert:

• Die /etc/passwd-DateiDie /etc/group-Datei
• Die /etc/group-Datei
• Die /etc/gshadow-Datei
• Die /etc/shadow-Datei

Lassen Sie uns jede Datei verstehen und was sie tut:

Die /etc/passwd-Datei

Die /etc/passwd-Datei enthält eine Menge Informationen über Benutzer, die in verschiedenen Feldern enthalten sind. Um den Inhalt der Datei anzuzeigen, verwenden Sie einfach das cat-Befehl, wie gezeigt.

$ cat /etc/passwd

Hier ist ein Ausschnitt des Outputs.

tecmint:x:1002:1002:tecmint,,,:/home/tecmint:/bin/bash

Lassen Sie uns auf die erste Zeile konzentrieren und die verschiedenen Felder genauer betrachten. Beginnend ganz links haben wir Folgendes:

• Der Benutzername: Dies ist der Name des Benutzers, in diesem Fall tecmint.
• Das Passwort: Die zweite Spalte repräsentiert das verschlüsselte Passwort des Benutzers. Das Passwort wird nicht im Klartext gedruckt, stattdessen wird ein Platzhalter mit einem x-Zeichen verwendet.
• Die UID: Dies ist die BenutzerID. Es handelt sich um eine eindeutige Kennung für jeden Benutzer.
• Die GID: Dies ist die Gruppen-ID.
• A brief description or summary of the user.
• Dies ist der Pfad zum Home-Verzeichnis des Benutzers. Für den Benutzer tecmint haben wir /home/tecmint.
• Dies ist die Anmeldeschale. Für normale Anmeldebenutzer wird dies normalerweise als /bin/bash dargestellt. Für Dienstkonten wie SSH oder MySQL wird dies normalerweise als /bin/false dargestellt.

Die Datei /etc/group

Diese Datei enthält Informationen über die Benutzergruppen. Wenn ein Benutzer erstellt wird, erstellt die Shell automatisch eine Gruppe, die dem Benutzernamen des Benutzers entspricht. Dies wird als primäre Gruppe bezeichnet. Der Benutzer wird bei der Erstellung der primären Gruppe hinzugefügt.

Zum Beispiel, wenn Sie einen Benutzer namens bob erstellen, erstellt das System automatisch eine Gruppe namens bob und fügt den Benutzer bob der Gruppe hinzu.

$ cat /etc/group

tecmint:x:1002:

Die /etc/group-Datei hat 3 Spalten. Von ganz links haben wir:

• Gruppenname. Jeder Gruppenname muss eindeutig sein.
• Gruppenpasswort. Normalerweise durch einen Platzhalter x dargestellt.
• Gruppen-ID (GID)
• Gruppenmitglieder. Dies sind Mitglieder, die zur Gruppe gehören. Dieses Feld bleibt leer, wenn der Benutzer das einzige Mitglied in der Gruppe ist.

HINWEIS: Ein Benutzer kann Mitglied mehrerer Gruppen sein. Ebenso kann eine Gruppe mehrere Mitglieder haben.

Um die Gruppen zu bestätigen, denen ein Benutzer angehört, führen Sie den Befehl aus:

$ groups username

Zum Beispiel, um die Gruppen zu überprüfen, denen der Benutzer tecmint angehört, führen Sie den Befehl aus:

$ groups tecmint

Die Ausgabe bestätigt, dass der Benutzer zwei Gruppen angehört: tecmint und sudo.

tecmint : tecmint sudo

Die Datei /etc/gshadow

Diese Datei enthält verschlüsselte oder „schattierte“ Passwörter für Gruppenkonten und kann aus Sicherheitsgründen von regulären Benutzern nicht abgerufen werden. Sie ist nur vom root-Benutzer und Benutzern mit sudo-Berechtigungen lesbar.

$ sudo cat /etc/gshadow

tecmint:!::

Von ganz links enthält die Datei die folgenden Felder:

• Gruppenname
• Verschlüsseltes Gruppenpasswort
• Gruppenadministrator
• Gruppenmitglieder

Die /etc/shadow-Datei

Die /etc/shadow-Datei speichert die tatsächlichen Passwörter der Benutzer in gehashter oder verschlüsselter Form. Die Felder sind durch Doppelpunkte getrennt und haben das folgende Format.

$ sudo cat /etc/shadow

tecmint:$6$iavr8PAxxnWmfh6J$iJeiuHeo5drKWcXQ.BFGUrukn4JWW7j4cwjX7uhH1:18557:0:99999:7:::

Die Datei hat 9 Felder. Beginnend von ganz links haben wir:

• Der Benutzername: Dies ist Ihr Anmeldename.
• Das Benutzerpasswort. Dies wird in gehashter oder verschlüsselter Form dargestellt.
• Der letzte Passwortwechsel. Dies ist das Datum, seitdem das Passwort geändert wurde und wird seit dem Epoch-Datum berechnet. Epoch ist der 1. Januar 1970.
• Das minimale Passwortalter. Dies ist die minimale Anzahl von Tagen, die verstreichen müssen, bevor ein Passwort festgelegt werden kann.
• Das maximale Passwortalter. Dies ist die maximale Anzahl von Tagen, nach denen ein Passwort geändert werden muss.
• Der Warnzeitraum. Wie der Name schon sagt, handelt es sich um die Anzahl von Tagen kurz bevor ein Passwort abläuft, an denen ein Benutzer über das bevorstehende Ablaufen des Passworts informiert wird.
• Der Inaktivitätszeitraum. Die Anzahl von Tagen nach Ablauf eines Passworts, an denen ein Benutzerkonto deaktiviert wird, ohne dass der Benutzer das Passwort ändert.
• Das Ablaufdatum. Das Datum, an dem das Benutzerkonto abgelaufen ist.
• Reserviertes Feld. – Dies bleibt leer.

Wie man Benutzer in einem Linux-System hinzufügt

Für Debian- und Ubuntu-Distributionen wird das adduser-Dienstprogramm zum Hinzufügen von Benutzern verwendet.

Die Syntax ist recht einfach und unkompliziert.

# adduser username

Zum Beispiel, um einen Benutzer namens bob hinzuzufügen, führen Sie den Befehl aus

# adduser bob

Aus der Ausgabe wird ein Benutzer namens ‚bob‚ erstellt und einer neu erstellten Gruppe namens ‚bob‚ hinzugefügt. Zusätzlich erstellt das System auch ein Home-Verzeichnis und kopiert Konfigurationsdateien hinein.

Anschließend werden Sie zur Eingabe des Passworts für den neuen Benutzer und zur Bestätigung aufgefordert. Die Shell fordert Sie auch zur Eingabe des vollständigen Namens des Benutzers und weiterer optionaler Informationen wie Raumnummer und Arbeits-Telefonnummer auf. Diese Informationen sind nicht unbedingt erforderlich, daher ist es sicher, sie zu überspringen. Drücken Sie abschließend 'Y', um zu bestätigen, dass die bereitgestellten Informationen korrekt sind.

Für RHEL- & CentOS-basierte Systeme verwenden Sie den useradd-Befehl.

# useradd bob

Anschließend setzen Sie das Passwort für den Benutzer mit dem passwd-Befehl wie folgt.

# passwd bob

Wie man Benutzer in einem Linux-System löscht

Um einen Benutzer aus dem System zu löschen, ist es ratsam, den Benutzer zunächst daran zu hindern, sich am System anzumelden, wie gezeigt.

# passwd -l bob

Wenn gewünscht, können Sie die Dateien des Benutzers mit dem tar-Befehl sichern.

# tar -cvf /backups/bob-home-directory.tar.bz2  /home/bob

Abschließend verwenden Sie den Befehl deluser, um den Benutzer zusammen mit dem Home-Verzeichnis zu löschen, wie folgt:

# deluser --remove-home bob

Zusätzlich können Sie den Befehl userdel verwenden, wie gezeigt.

# userdel -r bob

Die beiden Befehle entfernen den Benutzer vollständig zusammen mit ihren Home-Verzeichnissen.

Schlussfolgerung

Das war ein Überblick über die Benutzerverwaltungsbefehle, die sich besonders nützlich erweisen, insbesondere bei der Verwaltung von Benutzerkonten in Ihrer Büroumgebung. Probieren Sie sie von Zeit zu Zeit aus, um Ihre Systemadministrationsfähigkeiten zu schärfen.