Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Einleitung
TEIL I: Einstieg in Linux
2 Die Installation
3 Erste Schritte
4 Linux als Workstation für Einsteiger
TEIL II: Grundlagen
5 Kernel
6 Grundlagen aus Anwendersicht
TEIL III: Die Shell
7 Die Shell
8 Reguläre Ausdrücke
9 Konsolentools
10 Die Editoren
11 Shellskriptprogrammierung mit der bash
12 Die C-Shell
TEIL IV: System- & Netzwerkadministration
13 Benutzerverwaltung
14 Grundlegende Verwaltungsaufgaben
15 Netzwerkgrundlagen
16 Anwendersoftware für das Netzwerk
17 Netzwerkdienste
18 Mailserver unter Linux
19 LAMP & Co.
20 DNS-Server
21 Secure Shell
TEIL V: Die grafische Oberfläche
22 Die grafische Oberfläche
23 Window-Manager und Desktops
24 X11-Programme
25 Multimedia und Spiele
TEIL VI: Systeminterna
26 Prozesse und IPC
27 Bootstrap und Shutdown
28 Dateisysteme
29 Virtualisierung und Emulatoren
TEIL VII: Programmierung und Sicherheit
30 Softwareentwicklung
31 Crashkurs in C und Perl
32 Einführung in Computersicherheit
33 Netzwerksicherheit überwachen
TEIL VIII: Anhang
A Lösungen zu den einzelnen Aufgaben
B Kommandoreferenz
C X11-InputDevices
D MBR
E Buch-DVDs
F Glossar
G Literatur
Stichwort
Ihre Meinung?

Spacer
Linux von Johannes Plötner, Steffen Wendzel
Das umfassende Handbuch
Buch: Linux

Linux
Rheinwerk Computing
1282 S., 5., aktualisierte Auflage 2012, geb., mit 2 DVDs
49,90 Euro, ISBN 978-3-8362-1822-1
Pfeil 13 Benutzerverwaltung
Pfeil 13.1 Benutzer in Unix
Pfeil 13.1.1 UID und GID
Pfeil 13.1.2 /etc/passwd
Pfeil 13.1.3 Die Shadow Suite
Pfeil 13.2 Benutzer anlegen, ändern und löschen
Pfeil 13.2.1 Benutzer anlegen
Pfeil 13.2.2 Benutzer ändern
Pfeil 13.2.3 Benutzer löschen
Pfeil 13.3 Benutzer und Gruppen
Pfeil 13.3.1 Gruppen anlegen
Pfeil 13.3.2 Benutzer zu Gruppen hinzufügen
Pfeil 13.3.3 Gruppenpasswörter und /etc/gshadow
Pfeil 13.3.4 Gruppenadministratoren
Pfeil 13.3.5 Gruppen löschen
Pfeil 13.4 Als ein anderer Benutzer arbeiten
Pfeil 13.4.1 Der Systemadministrator als User
Pfeil 13.4.2 su
Pfeil 13.4.3 sudo
Pfeil 13.4.4 setuid/setgid
Pfeil 13.5 NIS/NIS+
Pfeil 13.5.1 Funktionsweise
Pfeil 13.5.2 Konfiguration der NIS-Clients
Pfeil 13.5.3 Konfiguration des NIS-Servers
Pfeil 13.5.4 Testen der Konfiguration
Pfeil 13.5.5 Sicherheit
Pfeil 13.6 LDAP
Pfeil 13.6.1 So funktioniert es
Pfeil 13.6.2 Einen LDAP-Server konfigurieren
Pfeil 13.6.3 Einträge hinzufügen, verändern und löschen
Pfeil 13.6.4 Die Benutzerverwaltung mit LDAP
Pfeil 13.7 Zusammenfassung
Pfeil 13.8 Aufgaben

»Treffen Einfalt und Gründlichkeit zusammen,
entsteht Verwaltung.«
– Oliver Hassencamp

13 BenutzerverwaltungZur nächsten Überschrift

Nach Konzepten aus Kernel- und Userspace sowie dem wichtigsten Unix-Werkzeug – der Shell – wollen wir uns in den folgenden Kapiteln mit Systemadministration befassen. Wie gewohnt werden wir dabei ins Detail gehen und Linux und BSD »pur«, also ohne distributionsspezifische Merkmale betrachten.

Als erstem und wichtigstem Thema wollen wir uns dabei der Benutzerverwaltung widmen. Dass Unix schon in den Anfangstagen mehrbenutzerfähig wurde und sich dieses Konzept somit durchgängig und vor allem konsistent in den Betriebssystemkern integriert, wissen Sie spätestens seit dem ersten Kapitel. Im Folgenden werden wir wieder mehr von Unix als von Linux und BSD reden, da die Benutzerverwaltung eine der vielen Gemeinsamkeiten dieser Systeme ist.


Rheinwerk Computing - Zum Seitenanfang

13.1 Benutzer in UnixZur nächsten ÜberschriftZur vorigen Überschrift

Benutzer und Prozesse

Betrachten wir also zuerst die Implementierung der Benutzer in Unix. Wenn Sie an das Kernel-Kapitel denken, werden Sie sich zwar an Prozesse, Rechte und Benutzer erinnern, aber eine konkrete Datenstruktur für Benutzer beziehungsweise deren Rechte werden Sie sich nicht ins Gedächtnis rufen können: Sie existiert nämlich nicht.


Rheinwerk Computing - Zum Seitenanfang

13.1.1 UID und GIDZur nächsten ÜberschriftZur vorigen Überschrift

Stattdessen sind die Benutzer- (UID, user ID) und Gruppenidentitäten (GID, group ID)

  1. nichts weiter als Zahlen sowie
  2. Eigenschaften von Prozessen

Verschiedene IDs

und als solche im Prozesskontrollblock hinterlegt. Jedoch muss hier bereits eingeschränkt werden: Es gibt nicht die UserID. Stattdessen unterscheidet man zwischen der realen UID (RUID), der effektiven UID (EUID) und der saved UID (SUID). Linux kennt zudem noch eine Benutzeridentität für den Zugriff auf Dateisysteme: die Filesystem UID (FSUID):

  • RUID und RGID
    Die reale Benutzer- und Gruppenidentität entspricht der Identität des Benutzers, der den Prozess gestartet hat.
  • EUID und EGID
    Die effektive Identität wird bei Rechteprüfungen genutzt. Der Administrator kann sie bei bestimmten Programmen durch das Setzen des setuid-Flags in der Rechtemaske verändern. So können normale Benutzer mit erweiterten Rechten ausgestattete vertrauenswürdige Programme für bestimmte Aufgaben wie das Setzen eines neuen Passworts benutzen.
  • SUID und SGID
    Die gesicherte Identität ist ein Feature, das durch den POSIX-Standard in die Kernel von Linux und BSD eingeführt wurde. Beim Verändern der EUID wird der neue Wert, sofern er sich von der RUID unterscheidet, als SUID abgelegt. Später kann dann dieser Wert wieder als EUID gesetzt werden.
  • Dies hat den Vorteil, dass mit speziellen erweiterten Rechten ausgestattete Programme diese nur zu nutzen brauchen, wenn sie es müssen. Setzt nämlich ein Programm eine von der RUID unterschiedliche Benutzeridentität als EUID, so wird dieser Wert in der SUID gespeichert. Später kann dann die EUID wieder zur RUID zurückgesetzt werden, was den Inhalt der SUID nicht verändert. Sollten die erweiterten Rechte dann noch einmal gebraucht werden, so kann man die EUID wieder auf den in der SUID gespeicherten privilegierten Wert setzen.

  • FSUID und FSGID
    Unter Linux ist die FSUID die Identität für den Zugriff auf das Dateisystem. Sie ist normalerweise mit der EUID identisch und wird somit auch verändert, wenn die EUID neu gesetzt wird. Jedoch hat man unter Linux über den Syscall setfsuid() die Möglichkeit, sie gesondert zu ändern.
  • Beschränkung auf das Dateisystem

    So können zum Beispiel Programme wie einen NFS-Server [Fn. NFS ist das Network Filesystem. Andere Unix-Systeme können die von einem NFS-Server freigegebenen Verzeichnisse wie lokale Datenträger mounten.] in ihren Rechten nur auf den Dateizugriff beschränkt werden, was eine zusätzliche Sicherheitsstufe gewährleistet.

Zu erwähnen bleibt noch die Besonderheit der UID 0: Sie kennzeichnet den Administrator root, der generell uneingeschränkte Rechte hat. Da man mit einer solchen Macht ausgestattet allerdings auch versehentlich viel Schaden anrichten kann, wird empfohlen, nicht direkt als root zu arbeiten. Stattdessen sollte man die Hilfsprogramme su und sudo nutzen, die wir später noch ausüährlich erläutern werden.

Außerdem kann ein Benutzer natürlich Mitglied in mehreren Gruppen sein. Nähere Auskunft über die Gruppenzugehörigkeit eines Users erhalten Sie mit dem groups-Befehl:

Listing 13.1 Die Gruppenzugehörigkeit

jploetner@workstation:~$ groups
jploetner cdrom sudo audio video games users ssh

Login und Rechte

Interessant ist auch der Zeitpunkt, zu dem diese Rechte gesetzt werden: beim Login. Stellen Sie sich dazu folgende Situation vor: Um einem User erweiterte Zugriffsrechte zu gewähren, wird er vom Administrator zu einer weiteren Gruppe hinzugefügt. Ist der Benutzer zu diesem Zeitpunkt aber eingeloggt, so bleibt die Änderung erst einmal unbemerkt. Schließlich sind die aktuell gültigen Rechte eine Eigenschaft der Shell und haben nichts mit den vom Administrator veränderten Konfigurationsdateien zu tun. Diese werden erst beim nächsten Login ausgelesen; somit werden die erweiterten Rechte erst dann aktiv.


Rheinwerk Computing - Zum Seitenanfang

13.1.2 /etc/passwdZur nächsten ÜberschriftZur vorigen Überschrift

Die Information über Benutzer und dabei auch die Abbildung von Benutzernamen auf die UID ist in einer besonderen Datei abgelegt, der /etc/passwd. Eine typische Zeile dieser Datei sieht wie folgt aus:

Listing 13.2 Eine Zeile der Datei /etc/passwd

jploetner:x:500:500:Johannes:/home/jploetner:/bin/bash

Die einzelnen durch Doppelpunkte getrennten Felder enthalten dabei jeweils unterschiedliche Eigenschaften eines Benutzerkontos:

  • Benutzername
    Der meist aus Kleinbuchstaben und manchmal auch aus Zahlen bestehende Benutzername wird zum Beispiel zum Einloggen oder bei anderen Repräsentationen der UID im System benötigt. Er muss dabei mit einem Buchstaben beginnen – den Grund hierfür werden wir später noch erklären.
  • Passwort
    Im nächsten Feld sollte eigentlich das verschlüsselte Passwort stehen. Warum in unserem Fall jedoch ein »x« an dieser Stelle steht, werden wir im nächsten Abschnitt erklären.

Systeminterne Repräsentation

  • UID
    Im nächsten Feld wird die UID angegeben. Diese Zahl wird nun im Prozesskontrollblock und auch innerhalb des Dateisystems zur Repräsentation der Benut- zeridentität verwendet. Der Benutzername ist also für den Benutzer gedacht, die ID für das System. Natürlich sollte kein Benutzername auf eine bereits vergebene ID abgebildet werden.
  • GID
    Im nächsten Fall wird die primäre Gruppe des Benutzers angegeben, also jene, zu der er bei seiner Erstellung hinzugefügt wurde. In vielen Linux-Distributionen ist das eine für diesen Benutzer eigens angelegte Gruppe – dies hat den Sinn, dass die verschiedenen Benutzer wirklich voneinander getrennt und damit voreinander geschützt sind. In unserem Fall ist die GID sogar dieselbe Nummer wie die UID, ein Zufall, der nicht unbedingt gegeben sein muss.
  • Info-Feld
    Das nächste Feld ist für Informationszwecke frei nutzbar. In den meisten Fällen findet man hier den bürgerlichen Namen des Benutzers, theoretisch können aber auch Adressen, Telefonnummern oder Zimmernummern abgelegt werden.
  • Heimatverzeichnis
    Als Nächstes folgt das Heimatverzeichnis des Benutzers. Hierauf sollte der Benutzer Schreibrechte haben, da sonst unter Umständen das Login fehlschlagen kann. [Fn. Diese Anspielung bezieht sich vor allem auf die grafischen Oberflächen wie beispielsweise KDE, die beim Start unter anderem temporäre Dateien ablegen wollen.]
  • Shell
    Als letztes, aber nicht unwichtigstes Feld kann der Benutzer hier seine Lieblings- Shell angeben (wie Sie spätestens seit Buch-Teil III wissen, gibt es mehr als eine Shell).

Natürlich braucht man als Administrator diese Datei nicht von Hand zu bearbeiten. Wie man komfortabel Benutzer anlegen und auch wieder löschen kann, werden wir bald behandeln.


Rheinwerk Computing - Zum Seitenanfang

13.1.3 Die Shadow SuiteZur vorigen Überschrift

Die Passwörter schützen

Im Folgenden wollen wir uns mit der Speicherung der Passwörter in modernen Unix-Systemen beschäftigen. Aus verschiedensten Gründen muss nämlich die /etc/passwd für alle Benutzer lesbar sein. Das würde nun bedeuten, dass jeder Benutzer die verschlüsselten Passwörter auslesen könnte. Theoretisch könnte man diese dann auf einem beliebigen (Hochleistungs-)Rechner zu knacken versuchen.

Es bietet sich also an, die Metainformationen über Benutzer und die gespeicherten Passwörter in verschiedene Dateien aufzuteilen. Und so sind die Metadaten in der Datei /etc/passwd und die Passwörter unter Linux in der Datei /etc/shadow gespeichert. Diese ist dabei nur vom Administrator root lesbar. In ihr steht nur die Kombination von Benutzername und Passwort:

Listing 13.3 Eine Zeile der Datei /etc/shadow

jploetner:$1$QJgtvoES$Ji/rS...Zrbq1:12201:0:99999:7:::

Das zweite Feld ist dabei das verschlüsselte Passwort, dem nun bestimmte Felder, die die Gültigkeit des Passworts betreffen, folgen. Fassen wir nun noch einmal alle Felder der Datei /etc/shadow zusammen:

  • Benutzername
    Der Benutzername muss mit dem Benutzernamen in der Datei /etc/passwd übereinstimmen.
  • Verschlüsseltes Passwort
    Im nächsten Feld steht das verschlüsselte Passwort, das statt in der für alle Benutzer lesbaren /etc/passwd in der nur für root lesbaren Datei /etc/shadow gespeichert werden soll.
  • Letzte Änderung
    Hierin steht der Zeitpunkt der letzten Passwortänderung. Er wird als Anzahl der Tage seit dem 1. Januar 1970 angegeben.
  • Minimale Gültigkeitsdauer
    Im nächsten Feld steht die minimale Gültigkeitsdauer eines Passworts. Mit anderen Worten: Das Passwort kann frühestens nach Ablauf der hier angegebenen Anzahl von Tagen geändert werden. [Fn. Dieser Wert ist eigentlich fast immer auf Null gesetzt.]

Regelmäßige Änderungen

  • Maximale Gültigkeitsdauer
    Hier steht die maximale Gültigkeitsdauer des Passworts. Sie wird wieder in Tagen angegeben. Der Benutzer muss vor Ablauf dieser Frist sein Passwort ändern.
  • Vorwarnzeit
    Damit der Benutzer für die Änderung genug Zeit hat, kann man im nächsten Feld eine Vorwarnzeit (wieder in Tagen) angeben. In dieser Zeitspanne vor Ablauf des Passworts wird der Benutzer daran erinnert, sein Passwort zu ändern.
  • Inaktivität
    Die Anzahl der Tage nach Ablauf der Gültigkeit eines Passworts, nach denen der Account inaktiv gesetzt wird.
  • Account-Ende
    Das absolute Ende des Accounts: Hier gibt man das Datum an, wann der Account deaktiviert werden soll. Form der Angabe ist wieder die Anzahl der Tage seit dem 1. Januar 1970.
  • Kennzeichen
    Dieses Feld ist für spätere Erweiterungen reserviert und sollte frei bleiben.

Natürlich reicht das Anlegen einer neuen Datei wie der /etc/shadow allein nicht aus, schließlich sollte ihre Funktionalität auch von den entsprechenden Programmen unterstützt werden. Die Sammlung entsprechend angepasster Programme nennt man dabei die Shadow Suite.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.

>> Zum Feedback-Formular
<< zurück
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux Handbuch






 Linux Handbuch


Zum Katalog: Linux Server






 Linux Server


Zum Katalog: Raspberry Pi






 Raspberry Pi


Zum Katalog: Ubuntu 14.04 LTS






 Ubuntu 14.04 LTS


Zum Katalog: Roboter bauen mit Arduino






 Roboter bauen
 mit Arduino


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Rheinwerk Verlag GmbH 2012
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de