Kapitel 4. Benutzer verwalten

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Als Systemadministrator/in verbringst du einen großen Teil deiner Zeit mit der Verwaltung von Benutzern. Du verbringst auch viel Zeit mit der Behebung von Benutzerproblemen, die nichts mit Konten oder Berechtigungen zu tun haben, wie z. B. Verbindungsprobleme, fehlerhafte Anwendungen, beschädigte Daten, Schulungsprobleme, Sicherheitsprobleme und von Benutzern verursachte Probleme.

Die Verwaltung von Benutzern umfasst die folgenden Aufgaben:

  • Benutzerkonten erstellen

  • Ändern von Benutzerkonten

  • Entfernen von Benutzerkonten

  • Zugriff auf Dateien und Verzeichnisse gewähren

  • Den Zugriff auf Dateien und Verzeichnisse einschränken

  • Durchsetzung von Sicherheitsrichtlinien

  • Berechtigungen für Dateien und Verzeichnisse festlegen

Einige Aufgaben der Benutzerverwaltung können mit diesem Buch erlernt werden, während andere rein erfahrungsbasiert sind und für dich ein Training on the Job darstellen. Keine zwei Benutzerumgebungen sind genau gleich, und keine zwei Benutzererfahrungen sind genau gleich. In diesem Kapitel lernst du einige Methoden zur präventiven Benutzerverwaltung kennen, aber Probleme treten trotzdem auf. Mit den Techniken, die du in diesem Kapitel lernst, wirst du in der Lage sein, eine Reihe von benutzerbezogenen Problemen zu bewältigen.

Nummerierungskonventionen für Benutzer- und Gruppen-IDs

Es gibt einige Richtlinien für die Erstellung und Verwaltung von Benutzerkonten auf Linux-Systemen, die in Tabelle 4-1 aufgeführt sind. Das sind keine festen Regeln, aber sie werden auf den meisten Unternehmenssystemen befolgt.

Tabelle 4-1. Nummerierungskonventionen für Benutzer- und Gruppenkonten
UID GID Beschreibung
0 0 Wurzel
1-999 1-999 System-/Dienstkonten
1000+ 1000+ Benutzerkonten

Die UID- und GID-Nummern der Benutzerkonten beginnen normalerweise bei 1000 und werden für jedes neue Konto um eins erhöht. Die UID und GID für den Root-Benutzer sind immer 0; kein anderer Benutzer im System hat diese Benutzer- und Gruppen-IDs.

System- und Dienstkonten sind keine menschlichen Benutzerkonten und haben in der Regel keine interaktive Shell, die mit ihnen verbunden ist. Diese Konten erhalten UIDs und GIDs, die von 1-999 reichen. Diese Unterscheidung macht die Verwaltung des Systems viel einfacher als die zufällige Zuweisung von UIDs und GIDs zu Benutzerkonten.

Benutzerkonten erstellen

Wie bei den meisten Aufgaben unter Linux gibt es mehr als eine Möglichkeit, Benutzerkonten zu erstellen. In diesem Buch halte ich mich an die beiden gängigsten Methoden zur Erstellung von Konten: useradd und adduser.

Hinzufügen von Benutzern mit useradd

Der Befehl useradd ist die Standardbefehlszeilenmethode von Linux, um neue Benutzer zu einem System hinzuzufügen. Der Befehl useradd ist einfach; du musst nur einen Benutzernamen als Argument angeben:

# useradd jsmith

Dadurch wird das Home-Verzeichnis /home/jsmith erstellt, mit den standardmäßigen versteckten Umgebungsdateien gefüllt und ein Eintrag in /etc/passwd vorgenommen. Wenn ich mit useradd ein Benutzerkonto anlege, gebe ich ein einziges Argument und eine Information an (den vollständigen Namen des Benutzers), für die ich sonst die Datei /etc/passwd bearbeiten müsste:

# useradd -c "Jane Smith" jsmith

Die Option -c schreibt die von dir eingegebenen Informationen in das fünfte Feld der Datei /etc/passwd. Wenn du mehr Informationen angeben möchtest, wie z. B. eine Telefonnummer, eine E-Mail-Adresse oder was auch immer, trenne die Informationen mit Kommas (,) :

# useradd -c "Jane Smith,Room 26,212-555-1000,jsmith@example.com" jsmith

Der /etc/passwd-Eintrag des neuen Benutzers:

jsmith:x:1007:1007:Jane Smith,Room 26,212-555-1000,jsmith@example.com:/home/
jsmith:/bin/bash

Die einzelnen Felder im /etc/passwd-Eintrag eines Benutzers sind wie folgt (von links nach rechts):

  • Benutzername

  • /etc/shadow Passwortfeld

  • Benutzer-ID

  • Primäre Gruppen-ID

  • Das Kommentarfeld

  • Hausverzeichnis

  • Standard-Shell

Passwörter werden nicht in der Datei /etc/passwd gespeichert. Das Feld /etc/shadow bezieht sich auf die Datei /etc/shadow, die das verschlüsselte Passwort jedes Benutzers enthält und nur vom Benutzer root gelesen werden kann. Beachte, dass die Berechtigungen für die Datei /etc/shadow auf Red Hat Enterprise Linux-basierten Systemen 000 sind. Die Dateiberechtigungen variieren von Distribution zu Distribution, sind aber nie von normalen Benutzern lesbar:

----------. 1 root root 1547 Jul 17 10:55 /etc/shadow

Obwohl das Benutzerkonto von Jane Smith erstellt wurde, ihr Home-Verzeichnis existiert und es einen Eintrag in der Datei /etc/passwd für das Konto gibt, kann sich Jane nicht am System anmelden. Weißt du, warum? Weil das Konto kein Passwort hat. Als Systemadministrator musst du Jane ein Anfangspasswort geben, damit sie sich anmelden kann. Da du kein Passwort für das Konto angegeben hast, zeigt der Eintrag in /etc/shadow, dass es kein Passwort gibt:

jsmith:!!:18825:0:99999:7:::

Verwende den Befehl passwd, um ein Passwort für das Konto anzugeben:

# passwd jsmith
Changing password for user jsmith.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

Jetzt musst du Jane das Passwort geben, damit sie sich erfolgreich am System anmelden kann.

Hinzufügen von Benutzern mit adduser

Auf einigen Linux-Distributionen ist adduser ein symbolischer Link zu useradd:

lrwxrwxrwx. 1 root root 17 Oct 26 2020 /usr/sbin/adduser -> /usr/sbin/useradd

Bei anderen Distributionen ist adduser ein interaktives Perl-Skript, das dich schrittweise durch das Hinzufügen eines neuen Benutzers führt, und useradd ist ein separates Dienstprogramm mit seinen Standard-Schaltern und Argumenten.

Ändern von Benutzerkonten

Ein statisches Benutzerkonto gibt es nur selten. Deshalb gibt es den Befehl usermod, der dir hilft, die nötigen Änderungen vorzunehmen, ohne dass du /etc/passwd, ein Home-Verzeichnis oder Konfigurationsdateien bearbeiten musst. Der Befehl usermod ist der Sammelpunkt für alle Änderungen, die mit einem Benutzerkonto zu tun haben. Im Folgenden findest du eine verkürzte Liste der Änderungen, die du mit dem Befehl usermod vornehmen kannst:

  • Hinzufügen des Benutzers zu einer zusätzlichen Gruppe

  • Ändere das Kommentarfeld des Benutzers in /etc/passwd

  • Das Heimatverzeichnis des Benutzers ändern

  • Festlegen eines Kontoverfallsdatums

  • Ein Verfallsdatum entfernen

  • Den Anmeldenamen (Benutzernamen) eines Benutzers ändern

  • Sperren/Entsperren eines Benutzerkontos

  • Den Inhalt des Home-Verzeichnisses eines Benutzers verschieben

  • Die Anmeldeshell eines Benutzers ändern

  • Die ID eines Benutzers ändern

Einige dieser Optionen werden häufiger genutzt als andere. Es ist zum Beispiel völlig normal, die Anmeldeshell eines Benutzers zu ändern, ein Konto zu sperren und zu entsperren, ein Ablaufdatum zu setzen oder zu entfernen oder einen Benutzer zu einer zusätzlichen Gruppe hinzuzufügen. Die ID eines Benutzers zu ändern, nachdem sie bei der Kontoerstellung festgelegt wurde, ist selten, ebenso wie die Verlegung des Home-Verzeichnisses eines Benutzers.

In den folgenden Abschnitten gebe ich Beispiele für die am häufigsten geforderten Änderungen am Benutzerkonto. Wenn du andere Aspekte eines Benutzerkontos ändern musst, findest du die Details in der Manpage.

Hinzufügen einer zusätzlichen Gruppe

Wenn du ein neues Benutzerkonto anlegst, weist das System dem Benutzer eine Benutzer-ID (UID) und eine primäre Gruppen-ID (GID) zu. (Sie können dieselbe fortlaufende Nummer sein, aber das ist nicht immer der Fall.) Für das Konto, das zuvor für Jane Smith angelegt wurde, lautet die UID beispielsweise 1007 und die GID 1007:

jsmith:x:1007:1007:

Janes primäre GID ist 1007, aber sie könnte auch in einem Bereich des Unternehmens arbeiten, wie z. B. in der IT, der Technik oder der Anwendungsentwicklung, für den sie Zugriff auf ein gruppeneigenes Verzeichnis benötigt. Für diese Übung arbeitet Jane in der technischen Abteilung als Associate Engineer. Die GID des gemeinsamen Verzeichnisses der technischen Abteilung ist 8020. Mit usermod kannst du Jane Zugriff auf das gemeinsame Verzeichnis dieser Gruppe gewähren:

# usermod -a -G 8020 jsmith

Damit wird Janes Benutzerkonto zur Gruppe engineering in der Datei /etc/group hinzugefügt:

engineering:x:8020:bjones,kdoe,vkundra,adundee,jsmith

Jetzt kann Jane auf das gemeinsame Verzeichnis der Ingenieurgruppe zugreifen. Um Janes Konto korrekt zu einer neuen Gruppe hinzuzufügen, verwende -a (anhängen) und -G (zusätzliche Gruppe) zusammen. Wenn du zum Beispiel möchtest, dass Jane auf das gemeinsame Verzeichnis der Finanzabteilung zugreift, musst du sie an diese Gruppe anhängen. Wenn du einen Benutzer hinzufügst, kannst du die GID-Nummer oder den Namen der Gruppe verwenden:

# usermod -a -G finance jsmith
Warnung

Du musst die Optionen -a (Anhängen) und -G (Zusatzgruppe) zusammen verwenden. Wenn du die Option -a nicht verwendest, wird dein Benutzer aus allen anderen Zusatzgruppen entfernt und nur in die von dir angegebene Gruppe aufgenommen.

Ein Benutzer kann Mitglied in mehreren anderen Gruppen sein. So kann ein Benutzer z. B. der Finanzabteilung angehören (GID 8342), aber auch Zugriff auf Informationen der Personalabteilung (GID 8901) benötigen. Du kannst einen Benutzer auch zu mehr als einer Gruppe hinzufügen:

# usermod -a -G 8342,8901 jsmith

Dieser Befehl fügt Jane Smith mit einem einzigen Befehl der Finanz- und der Personalgruppe hinzu.

Ändern des Feldes für Benutzerkommentare

Das Ändern des Feldes für Benutzerkommentare (GECOS) ist eine gängige Aufgabe. Du kannst die Datei /etc/passwd auch direkt bearbeiten, allerdings ist das mit erheblichen Risiken verbunden. Als Faustregel gilt: Wenn es ein Werkzeug gibt, um eine Aktion oder Aufgabe auszuführen, solltest du es benutzen, anstatt die Konfigurationsdateien direkt zu bearbeiten. Du kannst das GECOS-Feld ganz einfach mit dem Befehl usermod und der Option -c ändern.

Angenommen, das Unternehmen hat vor kurzem eine zweite Person namens Jane Smith eingestellt. Dann musst du zwischen den beiden unterscheiden, indem du dem GECOS-Feld der ersten Jane Smith eine mittlere Initiale hinzufügst:

# usermod -c "Jane R Smith" jsmith

Mit diesem Befehl wird Jane Smith durch Jane R Smith ersetzt.

Die Option -c teilt dem Befehl usermod mit, dass du das Feld "Kommentare" bearbeitest. Du kannst diese Informationen auch mit dem Befehl chfn ändern:

# chfn -f "Janie Smith" jsmith

Der Befehl chfn ändert deine Finger-Informationen. Finger ist ein alter Daemon, der auf frühen Unix-Systemen und einigen Linux-Systemen lief und Informationen über die Benutzer lieferte. Heutzutage benutzt ihn aus Sicherheitsgründen fast niemand mehr, aber die Informationen werden immer noch als Finger-Informationen bezeichnet. Die Option -f ändert das Feld für den vollständigen Namen des Benutzers für das angegebene Konto. Es gibt weitere Optionen für Büro (-o), Bürotelefon (-p) und Haustelefon (-h). Im Allgemeinen wird für das Feld GECOS nur der vollständige Name des Benutzers oder der Name und der Zweck des Dienstes verwendet.

Festlegen eines Verfallsdatums (Ablaufdatum) für ein Konto

Wenn ein Benutzer in einem Unternehmen kündigt, zu einer anderen Geschäftseinheit wechselt oder in Elternzeit geht, könnten Systemadministratoren beschließen, das Konto dieses Benutzers aus Sicherheitsgründen zu deaktivieren, bis die Person zurückkehrt oder bevor sie das Konto aus einem System entfernt:

# usermod -e 2021-07-23 rsmith

Das Konto von Rob Smith wird zum angegebenen Datum im Format JJJJ-MM-TT deaktiviert (verfallen). Die Option -e setzt das Konto für den Verfall fest.

Ändern der Login-Shell eines Benutzers

Die Standard-Linux-Shell ist die Bash, aber manche Benutzer bevorzugen eine andere Shell und bitten darum, dass ihre Standard-Shell in eine der vielen anderen verfügbaren Shell-Optionen geändert wird. Es gibt drei Methoden, um die Standard-Shell eines Benutzers zu ändern: usermod, chsh, und direktes Bearbeiten von /etc/passwd. Das direkte Bearbeiten der Datei /etc/passwd wird nicht empfohlen.

Der Befehl usermod verwendet die Option -s, die neue Shell und den Benutzernamen, um die Änderung vorzunehmen:

# usermod -s /bin/sh jsmith

Die aktualisierte Datei /etc/passwd wird hier angezeigt:

jsmith:x:1007:1007:Janie Smith:/home/jsmith:/bin/sh

Nur ein Benutzer mit Root-Rechten kann die Datei /etc/passwd bearbeiten oder den Befehl usermod verwenden. Jeder Benutzer kann jedoch seine Shell mit dem Befehl chsh ändern:

$ chsh -s /bin/zsh
Changing shell for jsmith.
Password:
Shell changed.

Der resultierende Eintrag in /etc/passwd sieht wie folgt aus:

jsmith:x:1007:1007:Janie Smith:/home/jsmith:/bin/zsh

Weitere Änderungen findest du in der Manpage für usermod.

Hinweis

Am Ende jeder Manpage findest du eine Liste mit alternativen Befehlen von , Links zu externer Dokumentation und Konfigurationsdateien, auf die im Abschnitt "Siehe auch" verwiesen wird. Diese sind sehr nützlich und können sich als effizienter erweisen, wenn du Änderungen vornehmen willst. Der folgende Abschnitt "Siehe auch" ist ein Auszug aus der Manpageusermod:

Siehe auch

chfn(1), chsh(1), passwd(1), crypt(3), gpasswd(8), groupadd(8), groupdel(8), groupmod(8), login.defs(5), useradd(8), userdel(8).

Nachdem du nun gelernt hast, wie du Benutzerkonten erstellst und änderst, wollen wir nun besprechen, wie du Benutzerkonten entfernst.

Entfernen von Benutzerkonten

Zum Glück benennen Systemadministratoren und Entwickler die Befehle so, dass man sie sich leicht merken kann. Befehlsnamen beschreiben oft ihre Funktionen. Der Befehl useradd ist ein solches Beispiel. Um ein Benutzerkonto aus einem System zu entfernen, verwendest du den Befehl userdel, der genauso einfach zu verwenden ist wie useradd.

Um ein Benutzerkonto aus deinem System zu entfernen, gibst du den Befehl userdel ein und gibst den Benutzernamen des Kontos an:

# userdel jsmith

Dieser Befehl entfernt den Eintrag des Benutzers aus /etc/passwd und aus /etc/shadow, lässt aber das Heimatverzeichnis des Benutzers(/home/jsmith) intakt. Warum denkst du, dass das eine gute Option ist? Sysadmins lassen das Home-Verzeichnis eines Benutzers oft intakt, wenn sich ein Benutzer von einem Unternehmen getrennt hat oder innerhalb des Unternehmens die Stelle gewechselt hat, aber keinen Zugriff mehr auf ein System benötigt. Die Beibehaltung des Benutzerverzeichnisses stellt sicher, dass nur der Root-Benutzer auf alle Dokumente zugreifen kann, die der Benutzer hinterlassen hat und die für das Unternehmen wichtig sein könnten.

Wenn du nächtliche Backups der Home-Verzeichnisse der Benutzer machst, musst du nicht unbedingt das Home-Verzeichnis des Benutzers beibehalten. Der folgende userdel Befehl entfernt das Home-Verzeichnis des Benutzers und alle Dateien darin:

# userdel -r jsmith
Warnung

Zerstörerische Linux-Befehle wie userdel und rm sind unumkehrbar und können nicht mehr rückgängig gemacht werden. Vergewissere dich immer, dass du das richtige Benutzerkonto hast, bevor du die Eingabetaste drückst - und habe gute Backups.

Wenn es an der Zeit ist, Passwörter zu ändern, musst du wissen, wie du die Nutzer dazu zwingen kannst. Unser nächster Abschnitt zeigt dir, wie.

Passwortänderungen erzwingen

Es ist eine Frage des Vertrauens, dass die Benutzer/innen ihr Passwort ändern, wenn du ihnen ein neues Passwort gibst. Sysadmins, die die Passwörter ihrer Benutzer regelmäßig überprüfen, wissen, dass dieses "Ehrensystem" nicht immer zu 100% funktioniert. Du kannst die Einstellungen eines Benutzerkontos ganz einfach mit dem Befehl chage überprüfen. Die Option -l listet die aktuellen Einstellungen für das angegebene Benutzerkonto auf:

# chage -l rsmith
Last password change                    : Jul 17, 2021
Password expires                        : never
Password inactive                        : never
Account expires                        : never
Minimum number of days between password change    : 0
Maximum number of days between password change    : 99999
Number of days of warning before password expires    : 7

Wie du sehen kannst, läuft das Passwort dieses Kontos nie ab, was ein Sicherheitsverstoß ist, der behoben werden muss. Zusätzlich zu einer regelmäßigen erzwungenen Änderung solltest du auch einen Mindestzeitraum für die Änderung festlegen. In der folgenden Codeauflistung habe ich zum Beispiel für das Konto rsmith festgelegt, dass das Passwort alle 90 Tage geändert werden muss (-M 90) und dass die Mindestanzahl der Tage zwischen den Passwortänderungen 1 beträgt (-m 1). Durch die Festlegung einer Mindestanzahl von Tagen wird sichergestellt, dass die Benutzer/innen ihre Passwörter nicht 10 Mal ändern (oder die Anzahl der vom System erinnerten Passwörter), um ihr ursprüngliches Passwort wiederherzustellen, was bedeutet, dass sie ihr Passwort nicht ändern.

# chage -m 1 -M 90 rsmith

# chage -l rsmith
Last password change                    : Jul 17, 2021
Password expires                        : Oct 15, 2021
Password inactive                        : never
Account expires                        : never
Minimum number of days between password change    : 1
Maximum number of days between password change    : 90
Number of days of warning before password expires    : 7

Das vom System festgelegte Verfallsdatum liegt 90 Tage nach der letzten Passwortänderung. Wenn die letzte Passwortänderung in der Vergangenheit liegt, muss der/die Nutzer/in sein/ihr Passwort bei der nächsten Anmeldung ändern.

Hinweis

Aus der Manpagechage:"Der Befehl chage ändert die Anzahl der Tage zwischen den Passwortänderungen und dem Datum der letzten Passwortänderung. Das System verwendet diese Informationen, um festzustellen, wann die Benutzer ihre Passwörter ändern müssen."

Passwörter sind eine schwache Form der Authentifizierung, da sie erraten, geknackt oder im Klartext gelesen werden können, wenn die Nutzer/innen sie aufschreiben. Deshalb musst du sicherstellen, dass Passwörter häufig geändert und nicht wiederverwendet werden.

Umgang mit Servicekonten

Nichts löst unter Sysadmins und Sicherheitsadministratoren so viele Kontroversen aus wie die bloße Erwähnung von Dienstkonten. Ich bin mir nicht sicher, worum es bei der ganzen Kontroverse geht, denn jedes Linux-System hat mehr als 30 Dienstkonten.

Ein Beispiel für ein Dienstkonto ist das Konto nobody, das das Kernel Overflow User-Konto ist:

nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin

In der Regel erkennst du ein Dienstkonto daran, dass in der Datei /etc/passwd steht, dass dem Benutzerkonto keine Shell zugewiesen ist. Dienstkonten haben /sbin/nologin, wo die Shell des Benutzers sein sollte. Das bedeutet, dass die Dienstkonten keine interaktive Shell oder Passwörter haben. Das bedeutet nicht, dass ihre Passwörter leer oder ungültig sind, sie existieren einfach nicht. Mit anderen Worten: Wenn ein Benutzerkonto /sbin/nologin als Shell hat, kann es sich nicht mit einem Passwort am System anmelden. Und kein Benutzer, auch nicht der Root-Benutzer, kann su oder sudo zu diesen Konten hinzufügen:

# su - nobody
This account is currently not available.

Da Dienstkonten keine interaktive Shell haben und nicht über su oder sudo zu einer Shell wechseln können, gibt es keine Sicherheitsverletzung, die mit Dienstkonten auf einem System verbunden ist. Die Kontroverse rührt daher, dass einige Systemadministratoren nicht wissen, dass Dienstkonten normalerweise keine interaktiven Shells oder Passwörter haben. Dienste benötigen unter Umständen ein interaktives Shell-Konto, damit ihr Dienst funktioniert. Für diese Dienste sollten strenge Kontrollen und andere Sicherheitsvorkehrungen getroffen werden, um mögliche heimliche Anmeldungen über diese Konten zu verhindern.

Gruppen statt Benutzer verwalten

Bei der Verwaltung der Berechtigungen für eine Reihe von Benutzern ist es bequemer, eine Gruppe zu definieren und zu verwalten, als jeden Benutzer einzeln zu verwalten. Mit der Gruppenverwaltung kannst du Folgendes tun:

  • Verwalten von Berechtigungen für Assets wie Ordner und Dateien

  • Verwalte die Berechtigungen je nach Aufgabenbereich

  • Berechtigungen für eine große Anzahl von Nutzern ändern, anstatt für jeden einzelnen Nutzer

  • Einfaches Hinzufügen von Nutzern zu und Entfernen von Nutzern aus den gemeinsamen Ordnern und Dateien einer Gruppe

  • Berechtigungen für sensible Ordner und Dateien einschränken

Es ist sehr schwierig, die Berechtigungen für einzelne Benutzer zu verwalten, denn wenn diese Berechtigungen geändert werden müssen, musst du die Berechtigungen für diesen Benutzer auf jedem System nachverfolgen, auf dem er ein Konto hat. Die Verwaltung von Berechtigungen für Gruppen ermöglicht es Systemadministratoren, den Benutzerzugriff auf einer globaleren Ebene zu verwalten.

Wenn du zum Beispiel einen Benutzer hast, der in der Personalabteilung arbeitet und dann in die Finanzabteilung wechselt, ist es einfach, diesen Benutzer aus der HR-Gruppe zu entfernen und ihn der Finanzgruppe hinzuzufügen. Der Benutzer hat sofort Zugriff auf alle gemeinsamen Dateien und Ordner, die auch andere Mitglieder der Finanzgruppe nutzen. Außerdem hat er keinen Zugriff mehr auf die Dateien und Ordner der Personalabteilung.

Du hast in diesem Kapitel gelernt, wie man Benutzer zu zusätzlichen Gruppen hinzufügt. Du solltest üben, wie du Verzeichnisse zum System hinzufügst, ein Gruppenkonto hinzufügst, das Verzeichnis als Eigentum der Gruppe kennzeichnest und dann Benutzer zu dieser Gruppe hinzufügst. Du kannst dann su - usernamezu diesem Benutzer werden, um deine Berechtigungseinstellungen zu testen.

Das folgende Beispiel ist ein mögliches Szenario, das du durchspielen kannst, um die Gruppenverwaltung zu erlernen. In diesem Beispiel wird davon ausgegangen, dass du bereits eine Finanzgruppe und ihr zugewiesene Benutzer hast. Beachte, dass in diesem Beispiel der root-Benutzer die Gruppe verlässt und zu einem normalen Konto zurückkehrt, das Teil der Finanzgruppe ist. Außerdem können die Benutzer die Gruppeneigentümerschaft und die Berechtigungen der Dateien, die ihnen gehören, ändern:

$ su - root
Password:

# mkdir /opt/finance

# chgrp finance /opt/finance

# ls -la /opt
total 0
drwxr-xr-x.  3 root root     21 Aug 11 21:56 .
dr-xr-xr-x. 18 root root    239 Aug 11 21:08 ..
drwxr-xr-x.  2 root finance   6 Aug 11 21:56 finance

# chmod 770 /opt/finance

# ls -la /opt
total 0
drwxr-xr-x.  3 root root     21 Aug 11 21:56 .
dr-xr-xr-x. 18 root root    239 Aug 11 21:08 ..
drwxrwx---.  2 root finance   6 Aug 11 21:56 finance

# exit
logout

$ cd /opt/finance

$ touch budget.txt

$ ls -la
total 0
drwxrwx---. 2 root  finance 24 Aug 11 21:58 .
drwxr-xr-x. 3 root  root    21 Aug 11 21:56 ..
-rw-rw-r--. 1 khess khess    0 Aug 11 21:58 budget.txt

$ chgrp finance budget.txt

$ ls -la
total 0
drwxrwx---. 2 root  finance 24 Aug 11 21:58 .
drwxr-xr-x. 3 root  root    21 Aug 11 21:56 ..
-rw-rw-r--. 1 khess finance  0 Aug 11 21:58 budget.txt

$ chmod 660 budget.txt

$ ls -la
total 0
drwxrwx---. 2 root  finance 24 Aug 11 21:58 .
drwxr-xr-x. 3 root  root    21 Aug 11 21:56 ..
-rw-rw----. 1 khess finance  0 Aug 11 21:58 budget.txt

Wenn du alles verstanden hast, was in diesem Beispiel passiert, kannst du mit dem nächsten Kapitel weitermachen. Wenn du diese Konzepte noch nicht beherrschst, solltest du die Beispiele des Kapitels noch einmal durcharbeiten und zu dieser Übung zurückkehren. Erinnere dich daran, dass das Anlegen von Benutzern, Gruppen und Verzeichnissen sowie das Ändern von Berechtigungen zu den täglichen Aufgaben von Sysadmins gehören und dass das Üben dieser Fähigkeiten der einzige Weg ist, sie sich anzueignen und mit ihnen vertraut zu werden.

Zusammenfassung

In diesem Kapitel hast du gelernt, wie man Benutzerkonten erstellt, entfernt und ändert. Außerdem hast du gelernt, wie du Dienstkonten einrichtest und einen kurzen Überblick über die Verwaltung von Gruppen erhalten. Im nächsten Kapitel lernst du etwas über Linux-Netzwerke, von den Grundlagen, warum Netzwerke wichtig sind, bis hin zu komplexeren Konzepten wie der Fehlerbehebung im Netzwerk .

Get Praktische Linux-Systemadministration now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial