Benutzerverwaltung bei UNIX/Linux-Systemen

1. Einleitung

Auch bei UNIX-Systemen hat, insbesondere bei der Administration von den zahlreichen zur Verfügung gestellten Diensten, die Zuhilfename einer GUI (Graphical User Interface), einer grafischen Benutzeroberfläche Einzug gehalten. Für viele Punkte ist dies sicher auch sehr nützlich, jedoch hat der Autor feststellen müssen, dass bei einer großen Zahl von zu verwaltenden Benutzern z. B. yast von SuSE Probleme zu haben scheint. Jedenfalls hat yast nach Editieren der Passwortdatei "per Hand" die zentralen Dateien zur Benutzerverwaltung gelöscht (immerhin wurde jedoch eine Sicherheitskopie angelegt). Ob es sich hier nun um einen Bug gehandelt hat oder ob das Problem daher rührte, dass beim Editieren ein Fehler in die Dateien gelangte (in den Dateien soll man nicht editieren:-)), ist man auf alle Fälle bei der Benutzung der Kommandozeilentool auf der sicheren Seite. Außerdem lassen sich damit darüberhinaus noch Skripte erzeugen.

2. Benutzerverwaltung

2.1. Neue Benutzer anlegen

Wenn man einen neuen Benutzer anlegt, werden insbesondere folgende Informationen benötigt:

- UID - die User Identification (Number), eine Zahl, welche den Benutzer im System identifiziert. Diese sollte vor allem bei Verwendung von NFS-Mounts im ganzen System eindeutig sein.
- GID - die Group Identification (Number), unter Linux für die Gruppe "users" standartmäßig 100
- die Shell, welche der User beim Einloggen erhalten soll (soll der User beispielsweise beim Einloggen sich nur in dem zugewiesenen Verzeichnis bewegen dürfen, also cd nicht ausführen dürfen, kann man hier die restrictet Shell eintragen -> Achtung: Programm nennt sich ebenso wie die Remote Shell ebenfalls rsh, man kann dies aber mittels locate oder whereis auf dem System suchen)
- das Home Directory, also das Verzeichnis indem der User beim Start "landet"
- und zuletzt sollte man den Loginnamen auch im Kommentar ausschreiben
Das Kommando, mit dem man gleichzeitig auch das Home Directory anlegt lautet:
useradd -u UID -g GID -d i. d. R. /home/loginname -s SHELL -c KOMMENTAR -m loginname

2.2. Passwörter vergeben

Ist ein Account wie zuvor beschrieben angelegt worden ist dieser erst einmal gesperrt, d. h. der User kann sich nicht einloggen. Der Administrator kann nun wie folgt vorgehen. Entweder der Account soll als ssh-Zugang mittels Publickey genutzt werden (siehe hierzu die Dokumentation auf diesen Seiten), oder aber der Benutzer soll sich direkt auf dem System einloggen dürfen, was am heimischen PC sicher üblich sein wird. Im ersten Fall editiert man einfach die Datei /etc/shadow und setzt das Passwort auf einen "*" (eine detailierte Erläterung der Datei erfolgt weiter unten in diesem Dokument), d. h. der Benutzer darf sich am System nicht einloggen (darf er dann via ssh trotzdem und ist damit die sicherste Art einem Benutzer Zugriff auf ein System zu gewähren. Die übliche Art des Direktzugriffs erfordert hingegen ein Passwort, das mög;glichst den geltenden Sicherheitsstandarts entsprechen sollte (siehe hierzu auch den Vortrag über Systemsicherheit von Jörg Schütter). Ein Passwort vergibt der Administrator wie folgt:

passwd -f loginname

Durch das Argument "-f" wird der Benutzer beim nächsten Login aufgefordert sein Passwort zu ändern so dass der Administrator zunächst auch Standartpasswörter vergeben kann (Anmerkung: der Autor ist sich nicht sicher ob "-f" das richtige Argument ist, da er weder in den man-Pages noch in anderen Quellen eine Beschreibung der Argumente finden konnte, sollte es jemand also besser wissen bitte benachrichtigt die LUG!)

2.3. Benutzer löschen

Noch einfacher als einen Benutzer anzulegen ist der Vorgang diesen wieder zu löschen. Dies geschieht mit dem Befehl:

userdel -r loginname

Das Argument "-r" löscht hierbei gleichzeitig das Home Directory des Users. Möchte man dieses noch eine gewisse Zeit sichern ist das Argument wegzulassen. Hierbei muss jedoch beachtet werden, dass in diesem Fall die UID nicht mehr referenziert werden kann und alle Dateien die alte UID anzeigen werden (ls -l). Man sollte daher die Dateien als root einem anderen User oder root schenken (chown -R loginname:gruppe VERZEICHNIS).

3. Gruppenverwaltung

3.1. Neue Gruppen anlegen

Möchte man für einen bestimmten Benutzerkreis besondere Rechte vergeben, läßt sich das am besten durch eine eigene Gruppe realisieren. Eine Gruppe wird durch folgendes Kommando angelegt:

groupadd -g GID gruppenname

3.2. Gruppen löschen

Möchte man die Gruppe wieder entfernen geschieht dies wie folgt:

groupdel gruppenname

4. Wichtige Dateien und Verzeichnisse

4.1. Dateien zur Benutzerverwaltung

4.1.1. Die Datei /etc/passwd

/etc/passwd ist die zentrale Datei in der alle Benutzerinformationen abgelegt werden. Die Datei hat folgenden Aufbau:

Loginname:x:UID:GID:Kommentar:Home Directory:Shell

An der Stelle an der heute das "x" eingetragen ist, welches sozusagen als Referenz zu der Datei /etc/shadow dient, wurde bis vor ein paar Jahren das Passwort des Benutzers gespeichert. Da aber nun jeder User die Datei lesen kann wurde dieses "ausgelagert".

4.1.2. Die Datei /etc/shadow

Die Datei, in welcher alle relevanten Informationen rund um das Passwort abgelegt werden kann nur von root gelesen werden. Sie hat folgenden Aufbau:

Loginname:verschlüsseltes Passwort:Tage seit letzter Passwortänderung (Basis ist der 01.01.1970):Tage nach Aenderung nachdem eine erneute Änderung vorgenommen werden darf:Tage zu dem Passwort abl%äft: Tage vor Passwortablauf an denen eine Warnmeldung ausgegeben wird:Tage nach Passwortablauf nach denen der Account gesperrt wird:Tage seit denen der Account gesperrt ist (Basis ist ebenfalls der 01.01.1970):ungenutztes Feld

4.1.3. Die Datei /etc/default/useradd

In dieser Datei sind die Standartvariablen enthalten, die eingesetzt werden wenn bei "useradd" an den entsprechenden Stellen nichts angegeben wird. Hier lassen sich auch Standartwerte für z. B. den Ablauf des Passworts, etc. angeben. Details sind den Manpages zu entnehmen.

4.1.4. Das Verzeichnis /etc/skel

Alle Dateien in diesem Verzeichnis werden beim Ausführen des Befehls "useradd" mit der Option "-m", also beim gleichzeitigen Anlegen des Home Directories des Benutzers in dessen Verzeichnis kopiert. Außerdem werden selbstverständlich alle Rechte entsprechend gesetzt. In dem Verzeichnis kann beispielsweise ein Standart .profile abgelegt werden.

4.2. Dateien zur Gruppenverwaltung

4.2.1. Die Datei /etc/groups

In dieser Datei werden alle Informationen zu den Gruppen abgelegt. Die Datei hat folgenden Aufbau:

Gruppenname:GID:Benutzer, welche der Gruppe angehöhren, getrennt durch ein Komma