 "Aufmacher Artikel")
Zu Befehl
Auch wenn sich viele Dinge bequem über grafische Oberflächen wie KDE oder Gnome regeln lassen – wer sein Linux-System richtig ausreizen möchte, kommt um die Kommandozeile nicht herum. Abgesehen davon gibt es auch sonst viele Situationen, in denen es gut ist, sich im Befehlszeilendschungel ein wenig auszukennen.
Multiuser-Systeme trennen die Arbeitsbereiche einzelner Benutzer sauber: So sichern Sie eigene Daten, indem Sie Zugriffsrechte passend setzen. Auch die Unix-/Linux-typische Angewohnheit, einen eigenen Zugang für Administrationsaufgaben (root) zu haben, ist vorteilhaft: Fehler, die das gesamte System lahmlegen können, werden so weitestgehend vermieden.
Der Systemverwalter Root ist Herr im Haus – alle hier vorgestellten Kommandos zur Einrichtung und Verwaltung von Benutzerzugängen können Sie nur mit Administratorrechten durchführen. Nach der Vorstellung der wichtigsten Konfigurationsdateien geht es ans Eingemachte: Mit den Programmen useradd, usermod und userdel erstellen, bearbeiten und löschen Sie Accounts.
Viele Benutzer
Welche Benutzerzugänge es auf Ihrem System gibt, verrät ein Blick in die Datei /etc/passwd (Abbildung 1). Neben den "echten" Accounts sehen Sie hier auch Einträge für Benutzer wie lp oder mail: Das sind so genannte Pseudo-User, die das System angelegt hat, um bestimmten Systemdienstprozessen gezielt Rechte an bestimmten Dateien und Verzeichnissen zu geben. Generell haben die Einträge in /etc/passwd die Form:
petronella:x:1002:1002:Petronella Huhn,,,,Test-Account:/home/petronella:/bin/bash
In den Feldern, die durch Doppelpunkte voneinander abgetrennt sind, finden Sie die folgenden Angaben:
- User-Name: Der Name, mit dem sich der Benutzer am System anmeldet.
- Passwort: Auf den meisten Systemen finden Sie hier ein
x– ein Hinweis, dass das Kennwort in die Datei/etc/shadowausgelagert wurde. (Früher stand an dieser Stelle das verschlüsselte Passwort.) Ist das Feld leer, ist die Anmeldung ohne Passwortabfrage möglich. - UID: Jeder Benutzer ist unter Linux eindeutig über eine Nummer, die UID ("User Identification"), identifizierbar; der Administrator Root hat die 0; 1 bis 99 sind typischerweise für System-Accounts reserviert.
- GID: Jeder Benutzer ist Mitglied einer oder mehrerer Gruppen, die über so genannte GIDs ("Group Identification") identifiziert werden.
- Zusätzliche Information: Eine genauere Beschreibung des Benutzers, die aus mehreren Worten bestehen darf (oft steht hier der Vor- und Zuname, die Telefon- oder Zimmernummer).
- Home-Verzeichnis: Bei "normalen" Benutzern meistens
/home/username, bei Pseudo-Usern steht hier oft ein Arbeitsverzeichnis (z. B. für den Drucker-Daemon – Benutzerlp– das Verzeichnis/var/spool/lpd). - Shell: Der zu startende Kommandozeileninterpreter, wenn der Benutzer sich am System anmeldet (meistens
/bin/bash).
Abbildung 1: In der Datei "/etc/passwd" finden Sie Angaben zu den Benutzern des Systems.
Passwort im Schatten
Wie schon erwähnt, setzen moderne Systeme meist Shadow-Passwörter ein. Dies erhöht die Sicherheit u. a. dadurch, dass die verschlüsselten Einträge nicht mehr in der für alle Anwender lesbaren Datei /etc/passwd, sondern in der Datei /etc/shadow stehen, die nur der Administrator lesen kann. Ein weiterer Vorteil von Shadow-Passwörtern ist, dass sie Informationen über die letzte Änderung des Kennwortes und einen Kontrollmechanismus zur Passwort-Änderung bieten.
Auch die Zeilen in /etc/shadow enthalten durch Doppelpunkte getrennte Felder. Im Einzelnen kann man dort die folgenden Angaben unterbringen:
- User-Name: Der Benutzername (wie bei
/etc/passwd). - Passwort: Hier steht das verschlüsselte Passwort. Dieses Feld darf nicht leer bleiben, daher steht für die Pseudo-Benutzer wie
lpan dieser Stelle ein Sternchen "*". Um einen Zugang vorübergehend zu sperren, kann ein Ausrufezeichen vorangestellt werden. - Letzte Änderung: Hier steht Datum der letzten Passwortänderung – gemessen in Tagen seit dem 01.01.1970.
- Mindestalter / Maximalalter: Wie alt das Passwort werden muss und darf, bevor der Benutzer es ändern kann bzw. muss.
- Warnung: Wieviele Tage vor Ablauf des Passworts wird der User gewarnt?
- Puffer: Wieviel Spielraum nach Ablauf des Passworts bleibt, bis der Account wirklich gesperrt wird.
- Gültigkeit: Datum, an dem das Passwort abläuft (angegeben in Tagen ab dem 01.01.1970).
- Frei: Das letzte Feld ist reserviert.
Beachten Sie, dass lediglich die ersten beiden Einträge zum Benutzernamen und zum Kennwort vorhanden sein müssen; die restlichen Felder sind optional. Ein Beispieleintrag könnte also so aussehen:
petronella:$1$RXbNLkU8$XULLOGFVs6LTxmSRqCS.P/:12872:0:99999:7:::
Einem Freund empfehlen
