Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Einleitung
TEIL I: Einstieg in Linux
2 Die Installation
3 Erste Schritte
4 Linux als Workstation für Einsteiger
TEIL II: Grundlagen
5 Kernel
6 Grundlagen aus Anwendersicht
TEIL III: Die Shell
7 Die Shell
8 Reguläre Ausdrücke
9 Konsolentools
10 Die Editoren
11 Shellskriptprogrammierung mit der bash
12 Die C-Shell
TEIL IV: System- & Netzwerkadministration
13 Benutzerverwaltung
14 Grundlegende Verwaltungsaufgaben
15 Netzwerkgrundlagen
16 Anwendersoftware für das Netzwerk
17 Netzwerkdienste
18 Mailserver unter Linux
19 LAMP & Co.
20 DNS-Server
21 Secure Shell
TEIL V: Die grafische Oberfläche
22 Die grafische Oberfläche
23 Window-Manager und Desktops
24 X11-Programme
25 Multimedia und Spiele
TEIL VI: Systeminterna
26 Prozesse und IPC
27 Bootstrap und Shutdown
28 Dateisysteme
29 Virtualisierung und Emulatoren
TEIL VII: Programmierung und Sicherheit
30 Softwareentwicklung
31 Crashkurs in C und Perl
32 Einführung in Computersicherheit
33 Netzwerksicherheit überwachen
TEIL VIII: Anhang
A Lösungen zu den einzelnen Aufgaben
B Kommandoreferenz
C X11-InputDevices
D MBR
E Buch-DVDs
F Glossar
G Literatur
Stichwort
Ihre Meinung?

Spacer
Linux von Johannes Plötner, Steffen Wendzel
Das umfassende Handbuch
Buch: Linux

Linux
Rheinwerk Computing
1282 S., 5., aktualisierte Auflage 2012, geb., mit 2 DVDs
49,90 Euro, ISBN 978-3-8362-1822-1
Pfeil 13 Benutzerverwaltung
Pfeil 13.1 Benutzer in Unix
Pfeil 13.1.1 UID und GID
Pfeil 13.1.2 /etc/passwd
Pfeil 13.1.3 Die Shadow Suite
Pfeil 13.2 Benutzer anlegen, ändern und löschen
Pfeil 13.2.1 Benutzer anlegen
Pfeil 13.2.2 Benutzer ändern
Pfeil 13.2.3 Benutzer löschen
Pfeil 13.3 Benutzer und Gruppen
Pfeil 13.3.1 Gruppen anlegen
Pfeil 13.3.2 Benutzer zu Gruppen hinzufügen
Pfeil 13.3.3 Gruppenpasswörter und /etc/gshadow
Pfeil 13.3.4 Gruppenadministratoren
Pfeil 13.3.5 Gruppen löschen
Pfeil 13.4 Als ein anderer Benutzer arbeiten
Pfeil 13.4.1 Der Systemadministrator als User
Pfeil 13.4.2 su
Pfeil 13.4.3 sudo
Pfeil 13.4.4 setuid/setgid
Pfeil 13.5 NIS/NIS+
Pfeil 13.5.1 Funktionsweise
Pfeil 13.5.2 Konfiguration der NIS-Clients
Pfeil 13.5.3 Konfiguration des NIS-Servers
Pfeil 13.5.4 Testen der Konfiguration
Pfeil 13.5.5 Sicherheit
Pfeil 13.6 LDAP
Pfeil 13.6.1 So funktioniert es
Pfeil 13.6.2 Einen LDAP-Server konfigurieren
Pfeil 13.6.3 Einträge hinzufügen, verändern und löschen
Pfeil 13.6.4 Die Benutzerverwaltung mit LDAP
Pfeil 13.7 Zusammenfassung
Pfeil 13.8 Aufgaben

Rheinwerk Computing - Zum Seitenanfang

13.4 Als ein anderer Benutzer arbeitenZur nächsten Überschrift

Natürlich gibt es vor allem an Arbeitsplatzrechnern, aber auch an tatsächlichen Mehrbenutzerrechnern, manchmal die Notwendigkeit, als ein anderer Benutzer im System zu arbeiten. Im Folgenden wollen wir dafür einerseits Fallbeispiele, andererseits aber natürlich auch Lösungsmöglichkeiten für damit einhergehende Probleme angeben.


Rheinwerk Computing - Zum Seitenanfang

13.4.1 Der Systemadministrator als UserZur nächsten ÜberschriftZur vorigen Überschrift

Zu große Macht

Ein wichtiger Problemfall ist der Benutzer root. Dieser Account ist aufgrund seiner Machtfülle nicht als persönliches Konto eines Systemadministrators, sondern wirklich nur zum Erledigen wichtiger Aufgaben gedacht. Ein Administrator sollte für die tägliche Arbeit (wie zum Lesen von Mails oder zum Websurfen) einen nichtprivilegierten Account nutzen und bei Bedarf schnell root werden können.

Dies gilt vor allem dann, wenn ein Unix-Rechner zu Hause genutzt und nur von einer einzigen Person verwendet wird. Auf Windows-Rechnern führt nämlich die dauernde Benutzung von privilegierten Accounts in der Regel dazu, dass diverse Viren, Würmer und Trojaner es relativ einfach haben, sich auf dem System häuslich einzurichten. Auch wenn Linux von diesen Gefahren noch nicht in gleichem Maße betroffen ist, ist man als nichtprivilegierter Benutzer immer auf der sicheren Seite, da keine wichtigen Systemdateien oder -programme verändert werden können.


Rheinwerk Computing - Zum Seitenanfang

13.4.2 suZur nächsten ÜberschriftZur vorigen Überschrift

Möchte man nun als root oder als ein anderer Benutzer arbeiten, so steht einem zunächst der Weg eines erneuten Logins offen. Da dies jedoch sehr umständlich ist, können Sie mit dem Programm su eine neue Shell als der gewünschte Benutzer starten. Alternativ kann man über den Parameter -c auch nur einen bestimmten Befehl zur Ausführung bringen.

Ohne Passwort

Auf jeden Fall müssen Sie, um als normaler Benutzer unter fremden Rechten zu arbeiten, das Passwort des betreffenden Accounts angeben. Einzig root kann ein normaler User werden, ohne ein Passwort angeben zu müssen. Aber dies ist auch sinnvoll: Schließlich gibt root Rechte ab, während normale Benutzer fremde Berechtigungen hinzugewinnen. Zudem sollte ein Administrator die Passwörter seiner Benutzer nicht kennen – schließlich ist es das Wesen eines Passworts, geheim zu sein.

Betrachten wir also ein Beispiel:

Listing 13.26 su benutzen

jploetner@host:/home/jploetner$ su
Passwort: ********
root@host:/home/jploetner# su swendzel
swendzel@host:/home/swendzel$

In diesem Beispiel hat sich der Benutzer zuerst in root verwandelt: Gibt man nämlich bei su keinen Benutzernamen an, so wird das Passwort des Superusers abgefragt und bei Erfolg die entsprechende Shell gestartet. Als root können Sie sich schließlich ohne Passworteingabe in jeden beliebigen Benutzer verwandeln.

Eine Besonderheit sei hier noch erwähnt: Ein Minuszeichen vor dem Benutzernamen [Fn. Natürlich kann man auch ein Minus als alleinigen Parameter an su übergeben, um root zu werden.] macht die neue Shell zu einer Login-Shell. Daher wird in diesem Fall unter anderem das Arbeitsverzeichnis auf das Home-Verzeichnis des neuen Benutzers gesetzt.


Rheinwerk Computing - Zum Seitenanfang

13.4.3 sudoZur nächsten ÜberschriftZur vorigen Überschrift

Ein einzelnes Programm ausführen

Das Programm sudo öffnet im Gegensatz zu su keine Shell mit der Identität des Benutzers, sondern wird genutzt, um ein Programm mit den entsprechenden Rechten zu starten. Wie auch bei su gilt: Ist kein Benutzer – hier über die Option -u – direkt angegeben, wird root als neue Identität ausgewählt.

Die Datei /etc/sudoers

Der folgende Aufruf führt das Programm lilo als root aus:

Listing 13.27 sudo

$ sudo lilo

Damit man als Benutzer die Vorzüge von sudo genießen kann, muss man mit einer entsprechenden Zeile in der Datei /etc/sudoers eingetragen sein:

Listing 13.28 Die Datei /etc/sudoers

...
# Den Benutzern der Gruppe users ohne Passwort alles
# erlauben
%users ALL=(ALL) NOPASSWD: ALL
# Dem Benutzer Test das Mounten/Unmounten von CD-ROMs
# erlauben (hier wird der Befehl direkt angegeben)
test ALL=/sbin/mount /cdrom,/sbin/umount /cdrom
...

Wie die Kommentare dieser Datei suggerieren, kann man für bestimmte Gruppen und Benutzer ziemlich genau einschränken, inwieweit sudo benutzt werden darf. Als Erstes wird dabei der Benutzer- beziehungsweise der Gruppenname angegeben, woraufhin eine Liste der Form Rechner=Befehle die möglichen per sudo ausgeführten Befehle festlegt.

Netzwerktransparenz

Würde die /etc/sudoers zum Beispiel über NIS oder NIS+ im Netzwerk verteilt werden, so könnte man anstatt ALL= sinnvolle Namen von Rechnern angeben, auf denen die nach dem = folgenden Befehle ausgeführt werden dürfen. Die Angabe von NOPASSWD: ALL in einer der Zeilen bewirkt zusätzlich, dass beim Aufruf von sudo für alle Befehle kein Passwort angegeben werden muss.

Anders als bei su muss bei sudo nicht das Passwort des zu benutzenden, sondern des eigenen Accounts angegeben werden.

Aus diesem Grund ist auch die besondere Konfiguration über die Datei /etc/sudoers notwendig. Schließlich ist sudo im engeren Sinn eine Verwässerung der Benutzerverwaltung und des Rechtesystems, die aber trotzdem ihre Daseinsberechtigung hat. In jedem Fall sollte man bei der Konfiguration von sudo Vorsicht walten lassen.

Für die normalen Anwendungsfälle sollten diese Beispiele eigentlich ausreichen. Bei wirklich exotischen Setups helfen

Ihnen die Manpages zu sudo und zur sudoers-Datei weiter.


Rheinwerk Computing - Zum Seitenanfang

13.4.4 setuid/setgidZur vorigen Überschrift

Eine weitere Möglichkeit, die Berechtigungen eines anderen Users zu nutzen, sind die setuid/setgid-Bits. Diese Rechte werden bei Dateien gesetzt, die nicht mit den Rechten des ausführenden Users, sondern mit denen des zugeordneten Eigentümers beziehungsweise der zugeordneten Gruppe der Datei ausgeführt werden sollen. Diese Zusammenhänge werden von uns im Zusammenhang mit dem Rechtesystem näher besprochen.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.

>> Zum Feedback-Formular
<< zurück
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux Handbuch






 Linux Handbuch


Zum Katalog: Linux Server






 Linux Server


Zum Katalog: Raspberry Pi






 Raspberry Pi


Zum Katalog: Ubuntu 14.04 LTS






 Ubuntu 14.04 LTS


Zum Katalog: Roboter bauen mit Arduino






 Roboter bauen
 mit Arduino


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Rheinwerk Verlag GmbH 2012
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de