LPIC102/107.1 Benutzer- und Gruppenkonten

Aus Foxwiki

Benutzer- und Gruppenkonten und dazugehörige Systemdateien verwalten

Liste wichtiger Dateien, Verzeichnisse und Anwendungen:

/etc/passwd
/etc/shadow
/etc/group
/etc/skel
chage
getent
groupadd
groupdel
groupmod
passwd
useradd
userdel
usermod


passwd, shadow, group, gshadow /etc/passwd

Die wichtigste Datei, die mit der Verwaltung von Benutzerkonten in Zusammenhang steht, ist die Datei /etc/passwd.

Beispiel:

root:x:0:0:root:/root:/bin/bash
harald:x:1000:100:Harald Maaßen:/home/harald:/bin/bash
dominik:x:1002:100:Dominik Maaßen:/home/dominik:/bin/bash
willi:x:1003:100:Willi 0173-1234567:/home/willi:/bin/bash
  1. Das erste Feld willi ist der Anmeldename des Benutzers. Er wird beim Login verwendet.
  2. Das zweite Feld, hier ein x, enthält das Passwort. Dieses Passwort befindet sich in diesem Fall in der shadow-Datei.
  3. Die dritte Position 1003 ist die User-ID.Sorgen Sie dafür, dass die Benutzer nach der Neuinstallation dieselben Benutzer-IDs bekommen, die sie vor der Neuinstallation hatten. Der Benutzer root bekommt immer die ID 0.
  4. Das vierte Feld, hier die 100, enthält die Group-ID. Das ist die initiale Gruppe des Benutzers, die in diesem Fall in der Datei /etc/group auf die Gruppe users zeigt.
  5. Die fünfte Spalte Willi0173-1234567 ist das sogenannte GECOS-Feld. Es kann Informationen über den Benutzer enthalten, die z. B. mit dem Programm finger abgefragt werden können. Ein Benutzer kann das GECOS-Feld auch selbst ändern, indem er das Kommando chfn benutzt.
  6. Das sechste Feld /home/willi enthält den Pfad zum Heimatverzeichnis des Benutzers.
  7. Als Letztes wird in Feld sieben /bin/bash der Pfad zur Login-Shell des Benutzers aufgeführt. Wenn hier keine ausführbare Datei angegeben wird, kann sich der Benutzer nicht anmelden. Sollte das gar erwünscht sein, ist es auch möglich, hier/bin/false anzugeben.


/etc/shadow

  1. Das erste Feld enthält den Anmeldenamen. Dieser stimmt mit dem ersten Feld der/etc/passwd-Datei überein.
  2. Das zweite Feld enthält das verschlüsselte Passwort. Die Verschlüsselung geschieht, je nach Distribution, mittels DES oder MD5. Die Verschlüsselung mitMD5 ist nicht sicherer als die mit DES, erlaubt jedoch die Verwendung längerer Passwörter. Bei der Verwendung von DES ist die Kennwortlänge auf acht Zeichen begrenzt. Längere Passwörter werden praktisch abgeschnitten.
  3. Zeitpunkt der letzten Kennwortänderung. Dieser Wert wird in ganzen Tagen ab dem 1. Januar 1970 angegeben.
  4. Mindestanzahl von Tagen zwischen Kennwortänderungen
  5. maximale Anzahl von Tagen zwischen Kennwortänderungen
  6. Der Benutzer wird vor dem Ablauf seines Kennwortes gewarnt. Dieser Wert zeigt an, wie viele Tage vor dem Ablauf des Kennwortes der Benutzer zur Passwortänderung aufgefordert wird.
  7. Wenn das Kennwort abgelaufen ist, wird das Konto deaktiviert. Dieses Feld enthält die Anzahl der Tage bis zur Deaktivierung des Accounts nach Ablauf des Kennwortes.
  8. Ablaufdatum des Benutzerkontos (falls ablaufend)
  9. reserviert für zukünftige Zwecke


/etc/group

root:x:0:
bin:x:1:daemon
daemon:x:2:
users:x:100:
sales:x:133: dominik,willi

Die verwendeten Felder beinhalten in dieser Reihenfolge:

  1. Name der Gruppe
  2. verschlüsseltes Passwort oder Verweis in die /etc/gshadow-Datei
  3. Gruppen-ID (kurz GID)
  4. Liste der Gruppenmitglieder, die durch ein Komma voneinander getrennt sind

/etc/gshadow

Beispiel: sales:$2a$10$....5nvMAwrW39u1:harald: dominik,willi

  1. Name der Gruppe
  2. Gruppenpasswort (hier gekürzt) – bei Standardgruppen wird auf ein Passwort oftmals auch verzichtet. Es kann ohnehin nur ein Benutzer in diese Gruppe wechseln,der sich am System angemeldet hat und in der Mitgliederliste eingetragen ist. Ein Missbrauch ist also unwahrscheinlich.
  3. Gruppenverwalter – der Gruppenverwalter kann Mitglieder zur Gruppe hinzufügen oder entfernen. Weiterhin hat er als Einziger (außer root natürlich) das Recht,das Passwort für die Gruppe zu ändern.
  4. Mitglieder der Gruppe – sie werden, wie gehabt, durch Kommata voneinander getrennt.

useradd

Mit diesem Befehl wird ein neuer Benutzer erstellt. Als Grundlage für die Voreinstellungen dient hierbei die Datei /etc/default/useradd. Diese Datei kann z. B. so aussehen:

GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
GROUPS=video,dialout
  1. Die initiale Gruppe des Benutzers ist 100 (also in diesem Fall users).
  2. Sein Heimatverzeichnis wird unterhalb von /home angelegt.
  3. Das Konto ist nicht deaktiviert (INACTIVE=-1).
  4. Das Konto läuft nie ab (EXPIRE=).
  5. Die voreingestellte Shell ist die Bash.
  6. Das Heimatverzeichnis wird aus der Vorlage /etc/skel erstellt.
  7. Der Benutzer gehört, abgesehen von der initialen Gruppe, auch noch den Gruppenvideo und dialout an.

userdel

Mit diesem Kommando wird ein Benutzerkonto vom System entfernt. Es wird einfach nur der Anmeldename übergeben.

Häufig verwendete Optionen sind:

-r (remove) löscht gleichzeitig das Heimatverzeichnis des Benutzers.

-f (force) löscht das Heimatverzeichnis des Benutzers auch dann, wenn dieses Verzeichnis Dateien anderer Benutzer enthält.


Beispiel:

userdel willi -rf

löscht den Benutzer Willi inklusive seines Heimatverzeichnisses, auch wenn dieses Daten anderer Benutzer enthält.


usermod

Der Befehl usermod dient dazu, ein existierendes Benutzerkonto zu ändern. Die Syntax bzw. die Optionen zu usermod ähneln größtenteils denen von useradd.


passwd

Das Kommando passwd wird hauptsächlich dazu verwendet, das Kennwort eines Benutzers zu ändern. Es können aber auch Änderungen damit durchgeführt werden,die eigentlich usermod machen sollte. Der Grund hierfür wird klar, wenn Sie die bei-den Kommandos miteinander vergleichen:

-rwsr-xr-x  1 root shadow  66040 Mai 17  2017 passwd
-rwxr-xr-x  1 root root    92000 Mai 17  2017 usermod