1. Benutzerverwaltung. 1.1 Die Dateien /etc/passwd und /etc/shadow. 1.2 Accounts für Benutzer anlegen.

Transkript

1 Linux - Benutzerverwaltung. - 1 / Benutzerverwaltung. Webmin kann ebenfalls dazu benutzt werden, um einen neuen Benutzer anzulegen, dessen Daten zu verwalten (wie zum Beispiel Änderung des Paßwortes usw.) oder den Account zu löschen. 1.1 Die Dateien /etc/passwd und /etc/shadow. Die Datei /etc/passwd enthält die Benutzer- und Login-Informationen und Datei /etc/shadow enthält die verschlüsselten Paßworte sowie Festlegungen über deren Gültigkeit. Beachte: Die shadow Datei muß immer die Rechte besitzen. Die Integrität der passwd und der shadow Datei kann mit dem Kommando pwck überprüft und nötigenfalls korrigiert werden. pwck [-rq] [Passwortdatei [Shadowdatei]] Gibt man die Passwort- und die Shadowdatei nicht an, werden /etc/passwd und /etc/shadow überprüft. -r Read-Only, Inkonsistenzen werden nur angezeigt, aber nicht korrigiert. -q Zeige nur Fehler, aber keine Warnungen an. Beispiel (alles in Ordnung): pwck -rq 1.2 Accounts für Benutzer anlegen. Beim Anlegen eines neuen Benutzers gelten Standardwerte. Zuständig ist dafür die Datei /etc/default/useradd in der die Standardwerte für neue Einträge enthalten sind. Änderungen mit dem Kommando useradd -D (Option -D nur Anzeige). useradd -D GROUP=100 HOME=/home INACTIVE=-1 EXPIRE= SHELL=/bin/bash SKEL=/etc/skel CREATE_MAIL_SPOOL=yes cat /etc/default/useradd useradd defaults file GROUP=100 HOME=/home INACTIVE=-1 EXPIRE= SHELL=/bin/bash SKEL=/etc/skel CREATE_MAIL_SPOOL=yes Das skeleton (dt. Gerippe, Gerüst) Verzeichnis /etc/skel enthält Dateien, die beim Anlegen eines neuen Accounts in das Heimatverzeichnis des neuen Benutzers übertragen werden und eine Standardkonfiguration der Umgebung garantieren: ls -af /etc/skel./../.bash_logout.bash_profile.bashrc.gnome2/.mozilla/ Weitere systemweite Einstellungen finden sich in der Datei /etc/login.defs. Diese gelten nicht nur für die Neuanlage von Usern, sondern teilweise auch bei einer Änderung: zum Beispiel die minimale Länge des Paßwortes. Die Kommentierung der Originaldatei ist hier zum besseren Verständnis ins Deutsche übersetzt: *Erforderlich* Verzeichnis mit den Mailboxen, _oder_ Dateiname relativ zu dem Heimatverzeichnis. Wenn Sie beides angeben, wird MAIL_DIR der Vorzug gegeben. QMAIL_DIR ist fuer Qmail QMAIL_DIR Maildir MAIL_DIR /var/spool/mail MAIL_FILE.mail

2 Linux - Benutzerverwaltung. - 2 / 11 - Passwort Zeit Kontrolle: PASS_MAX_DAYS Maximale Anzahl der Tage, an dem es benutzt werden kann. PASS_MIN_DAYS Minimale Anzahl der Tage, bis es wieder geändert werden kann. PASS_MIN_LEN Minimal Paßwortlänge. PASS_WARN_AGE Anzahl der Tage vor Ablauf, an denen Warnung angezeigt wird. PASS_MAX_DAYS PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 Min/Max Werte für die automatische UID Auswahl beim useradd Kommando. UID_MIN 1000 UID_MAX System accounts SYS_UID_MIN 201 SYS_UID_MAX 999 Min/Max Werte für die automatische GID Auswahl beim useradd Kommando. GID_MIN 1000 GID_MAX System accounts SYS_GID_MIN 201 SYS_GID_MAX 999 Wenn definiert, wird dieses Kommando beim Entfernen eines Benutzers ausgeführt. Es sollte alle at/cron/print Jobs etc. des zu entfernenden Benutzers löschen (Benutzer wird mit dem ersten Argument übergeben). USERDEL_CMD /usr/sbin/userdel_local Wenn useradd Kommando Heimatverzeichnisse standardmäßig erstellen soll, (dies soll bei RedHat der Fall sein). Dies wird mit der -m Option des useradd Kommandos überschrieben. CREATE_HOME yes Die Rechte Maske wird mit diesem Wert initialisiert. Wenn nicht angegeben, wird die Rechte Maske mit 022 initialisiert. UMASK 077 Dieser Eintrag ermöglicht mit dem userdel Kommando User Gruppen zu entfernen, wenn diese keine Mitglieder haben. USERGROUPS_ENAB yes Benutze SHA512 zur Verschlüsselung des Passwortes. ENCRYPT_METHOD SHA512 Kommando useradd zur Benutzerverwaltung: useradd [-c Kommentar> [-e Enddatum] [-f Inaktivzeit] [-N] LoginUsername -c Kommentar (comment), Informationen zum Benutzer. -e Enddatum (expire). Datumsangabe, an dem der Account erlischt. Angabe als MM/TT/JJJJ oder JJJJ-MM-TT (TT = Tag, MM = Monat, JJJJ = Jahr) -f Inaktivzeit. Tage nach max. Gültigkeit des Paßwortes (nicht -e Option!), an denen beim Login das Paßwort noch geändert werden kann. -N Keine benutzereigenen Gruppen (UPG = User Private Groups Konzept von Red Hat). Allen neuen Benutzern wird normalerweise die Gruppe users (uid=100) zugewiesen. Das UPG (User Private Groups) Konzept von Red Hat sieht vor, stattdessen jedem neuen Benutzer eine eigene Gruppe mit dem gleichen Namen wie der Benutzername zuzuweisen, in der er allein das einzige Mitglied der Gruppe ist.

3 Linux - Benutzerverwaltung. - 3 / 11 - Siehe dazu Red Hat Enterprise Linux Referenzhandbuch: Sie sollten wegen des UPG Konzepts nicht die -N Option verwenden! Mit dem Kommando chage lassen sich die Zeiten des Ablaufs eines Accounts anzeigen und auch interaktiv ändern. chage [-l] Loginname Aktuelle zeitlichen Daten zum Account interaktiv ändern. -l Nur Ausgabe der aktuellen zeitlichen Daten zum Account. Beispiel: Mit dem Kommando useradd wird ein neuer Benutzer Account mit Loginname s.biene angelegt, Optionaler Kommentar (Option -c, wie engl. comment) sei der volle Name der Userin. Der Account ist gesperrt ab (durch Option -e wie expire), die Datumseingabe folgt dem Format MM/TT/JJJJ. Ansonsten gelten die Standardwerte, ein Heimatverzeichnis wurde angelegt und mit den Dateien aus /etc/skel gefüllt. Ebenfalls wurde die Spoolerdatei für Mail angelegt: useradd -c "Sabine Biene" -e 6/1/2015 s.biene chage -l s.biene Last password change : Nov 26, 2010 Password expires : never Password inactive : never Account expires : Jun 01, 2015 Minimum number of days between password change : 0 Maximum number of days between password change : Number of days of warning before password expires : 7 ls -alf /home/s.biene /var/spool/mail/s.biene -rw-rw s.biene mail Nov 20:13 /var/spool/mail/s.biene /home/s.biene: insgesamt 32 drwx s.biene s.biene Nov 20:13./ drwxr-xr-x. 4 root root Nov 20:13../ -rw-r--r-- 1 s.biene s.biene Mai 2010.bash_logout -rw-r--r-- 1 s.biene s.biene Mai 2010.bash_profile -rw-r--r-- 1 s.biene s.biene Mai 2010.bashrc drwxr-xr-x 2 s.biene s.biene Mär 2010.gnome2/ drwxr-xr-x 4 s.biene s.biene Jul 15:48.mozilla/ cat /etc/passwd grep 's.biene' s.biene:x:501:501:sabine Biene:/home/s.biene:/bin/bash cat /etc/shadow grep 's.biene' s.biene:!!:14939:0:99999:7::16587: In der Datei /etc/passwd findet man die folgenden Einträge (das x kennzeichnet, daß sich das Paßwort in der /etc/shadow Datei befindet) mit ihrer sinngemäßen Bedeutung: Loginname:x:uid:gid:Kommentar:Heimatverzeichnis:Loginshell In der Datei /etc/shadow findet man die folgenden Einträge (PW = Paßwort) mit ihrer sinngemäßen Bedeutung: Loginname:PW:Datum:Min:Max:Warnung:Inaktiv:Enddatum: Es bedeuten: Login Name PW Benutzername zur Anmeldung. Verschlüsseltes Paßwort. Beginnt es mit einem oder zwei Ausrufungszeichen, ist der Account gesperrt. Datum Datum der letzten Paßwortänderung, angegeben in Tagen seit dem Wert 0 = Benutzer muß bei nächster Anmeldung dein Passwort ändern. Min Max Tage, die bis zur nächsten Paßwortänderung vergehen müssen, Mindestzeit. Wert 0 = Feature ausgeschaltet. Tage, bis das Paßwort wieder geändert werden muß, Maximalzeit.

4 Linux - Benutzerverwaltung. - 4 / 11 - Warnung Inaktiv Enddatum Kein Wert = ohne Begrenzung. Tage vor Ablauf des Paßwortes, mit Hinweis beim Login, Warnzeit. Wert 0 oder leer = Feature ausgeschaltet Tage nach Überschreitung von Max, an denen noch der User beim Login sofort sein Paßwort ändern muß, um in das System zu kommen. Kein Wert = keine Inaktivitätszeit. Datum angegeben in Tagen seit dem , ab dem definitiv kein Login mehr möglich ist, angegeben in Tagen seit dem Wie aus dem Listing der /etc/shadow Datei hervorgeht, muß erst noch für den neuen Benutzer ein Paßwort vergeben werden. Deshalb ist der Account mit einer Sperrung versehen (zur Kennzeichnung werden in /etc/shadow vor das verschlüsselte Paßwort zwei Ausrufungszeichen!! gesetzt, s. obiges Listing), die Benutzerin kann sich noch nicht einloggen 1.3 Paßwort ändern. Zur Paßwortänderung bzw. Statusanzeige dient das Kommando passwd. Wird keine Option angegeben, wird das Paßwort geändert. Wird keine Option und kein Login Name angegeben,wird das Paßwort des eigenen Accounts geändert. Für Shellskripte ist das Kommando chpasswd geeignet. passwd [-S] [Loginname] -S Statusanzeige Weitere Optionen siehe weiter unten. Vergabe eines Paßwortes für die neue Benutzerin: passwd -S s.biene s.biene LK (Passwort gesperrt.) passwd s.biene ändere Passwort für Benutzer s.biene. Geben Sie ein neues Passwort ein: Geben Sie das neue Passwort erneut ein: passwd: alle Authentifizierungsmerkmale erfolgreich aktualisiert. passwd -S s.biene s.biene PS (Passwort mit SHA512-Verschlüsselung gesetzt.) LK = Passwort gesperrt (locked), PS = Passwort gesetzt (password set). 1.4 Benutzer Accounts ändern. Accountänderungen lassen sich bezüglich Sperrung, Freigabe, Einstellung der verschiedenen Zeitbegrenzungen usw. mit den Kommandos passwd, usermod oder chage vornehmen. passwd [Optionen s. Tabelle] Loginname usermod [Optionen s. Tabelle] [-c Kommentar_neu] [-l Loginname_neu] Loginname chage [Optionen s. Tabelle] [-d Letzte_Passwortänderung] Loginname -d Angabe als Tage seit oder im Datumsformat JJJJ-MM-TT Zur Sperrung bzw. Freigabe eines Accounts benutzt passwd zwei Ausrufungszeichen, dagegen usermod nur eines (aber passwd entfernt auch nur eines)!

5 Linux - Benutzerverwaltung. - 5 / 11 - Die Optionen der Kommandos und deren Bedeutung: Kommando Mindestzeit Warnzeit (engl. warn) Maximalzeit Inaktivzeit (engl. inactive) Festes Enddatum (engl. expire) Sperrung bzw. Freigabe passwd -n Tage -w Tage -x Tage -i Tage -l bzw. -u usermod -f Tage -e MM/TT/JJJJ -e JJJJ-MM-TT -L bzw. -U chage -m Tage -W Tage -M Tage -I Tage -E MM/TT/JJJJ -e JJJJ-MM-TT Datumsformate: TT = Tag, MM = Monat, JJJJ = Jahr. Einige Beispiele: passwd -S s.biene s.biene PS (Passwort mit SHA512-Verschlüsselung gesetzt.) passwd -l s.biene Sperre Passwort für Benutzer s.biene. passwd: erfolgreich passwd -S s.biene s.biene LK (Passwort gesperrt.) cat /etc/shadow grep 's.biene' s.biene:!! $6$/bxw/9CN$EPpNlDcp7TaBdTfZDqoRt/JE1CF6ovnD2FlRM9t66vD0ixZsPa0O0Fz53ZKVWbZCjdL9YJbQPSzhwXP eb4/if1:14940:0:99999:7::16587: usermod -U s.biene passwd -S s.biene s.biene LK (Passwort gesperrt.) cat /etc/shadow grep 's.biene' s.biene:! $6$/bxw/9CN$EPpNlDcp7TaBdTfZDqoRt/JE1CF6ovnD2FlRM9t66vD0ixZsPa0O0Fz53ZKVWbZCjdL9YJbQPSzhwXP eb4/if1:14940:0:99999:7::16587: usermod -U s.biene passwd -S s.biene s.biene PS (Passwort mit SHA512-Verschlüsselung gesetzt.) cat /etc/shadow grep 's.biene' s.biene: $6$/bxw/9CN$EPpNlDcp7TaBdTfZDqoRt/JE1CF6ovnD2FlRM9t66vD0ixZsPa0O0Fz53ZKVWbZCjdL9YJbQPSzhwXP eb4/if1:14940:0:99999:7::16587: Dagegen: passwd -S s.biene s.biene PS (Passwort mit SHA512-Verschlüsselung gesetzt.) usermod -L s.biene passwd -S s.biene s.biene LK (Passwort gesperrt.) cat /etc/shadow grep 's.biene' s.biene:! $6$/bxw/9CN$EPpNlDcp7TaBdTfZDqoRt/JE1CF6ovnD2FlRM9t66vD0ixZsPa0O0Fz53ZKVWbZCjdL9YJbQPSzhwXP eb4/if1:14940:0:99999:7::16587: passwd -u s.biene Entsperre Passwort für Benutzer s.biene. passwd: erfolgreich passwd -S s.biene s.biene PS (Passwort mit SHA512-Verschlüsselung gesetzt.) cat /etc/shadow grep 's.biene' s.biene: $6$/bxw/9CN$EPpNlDcp7TaBdTfZDqoRt/JE1CF6ovnD2FlRM9t66vD0ixZsPa0O0Fz53ZKVWbZCjdL9YJbQPSzhwXP eb4/if1:14940:0:99999:7::16587: Beispiel, es sollen in der Datei /etc/passwd die Einträge für den Kommentar geändert werden (der sogenannte finger Eintrag), Kommandos chfn oder usermod. Geht natürlich auch mit einem Editor. Anzeige mit Kommando finger: cat /etc/passwd grep 's.biene'

6 Linux - Benutzerverwaltung. - 6 / 11 - s.biene:x:501:501:sabine Biene:/home/s.biene:/bin/bash usermod -c "Simone Biene" s.biene cat /etc/passwd grep 's.biene' s.biene:x:501:501:simone Biene:/home/s.biene:/bin/bash finger s.biene Login: s.biene Name: Simone Biene Directory: /home/s.biene Shell: /bin/bash Last login Sa Nov 27 14:58 (CET) on tty2 No mail. No Plan. chfn s.biene Ändere finger-information für s.biene. Name [Simone Biene]: Office []: Linux Company Office Phone []: Home Phone []: Finger-Information geändert. cat /etc/passwd grep 's.biene' s.biene:x:501:501:simone Biene,Linux Company, :/home/s.biene:/bin/bash finger s.biene Login: s.biene Name: Simone Biene Directory: /home/s.biene Shell: /bin/bash Office: Linux Company, Last login Sa Nov 27 14:58 (CET) on tty2 No mail. No Plan. Achtung Datenschutz! Beachten Sie, daß das Kommando finger von jedem Benutzer aufgerufen werden kann und die Daten von anderen Benutzern angezeigt werden können, ebenso die Datei /etc/passwd von allen gelesen werden kann. Aus Datenschutzgründen ist es problematisch, private Telefonnummern usw. abzuspeichern. Innerhalb einer Firma ist gegen die interne Telefonnummer nichts einzuwenden - allerdings ist manch ein Chef oder Abteilungsleiter eventuell auch nicht davon begeistert, daß Telefonanrufe nicht über das Sekretariat eingehen. Installieren Sie nicht den Internetdienst finger, darüber können die Daten auch von außen abgefragt werden! 1.5 Eigentümer und Rechte an Dateien (Verzeichnissen) setzen. Das Kommando chown ändert den Eigentümer und/oder die Gruppe von Dateien und/oder Verzeichnissen. chown [-Rh] Eigentümer[:.Gruppe] Datei Verzeichnis [...] chown [-Rh] :.Gruppe Datei Verzeichnis [...] -R Rekursiv (Unterverzeichnisse mit einbeziehen). -h Symbolische Verknüpfung bearbeiten, nicht das Ziel der Verknüpfung bearbeiten. Standardmäßig wird immer das Ziel einer symbolischen Verknüpfung bearbeitet! Root sollte immer die -h Option verwenden! Beispiel: Der Systemverwalter Root schreibt Userin s.biene eine Datei in ihr Heimatverzeichnis: cat > /home/s.biene/liesmich.txt Trage den Proxy unserer Firma beim Firefox ein, und das Surfen im Internet klappt. -cu root cat /home/s.biene/liesmich.txt Trage den Proxy unserer Firma beim Firefox ein, und das Surfen im Internet klappt. -cu root ls -l /home/s.biene/liesmich.txt -rw-r--r-- 1 root root Nov 15:54 /home/s.biene/liesmich.txt Usererin s.biene hat allerdings keine Berechtigung, die Datei zu ändern, da sie nur Leserechte hat (Löschen ist mög-

7 Linux - Benutzerverwaltung. - 7 / 11 - lich, da sie in ihrem Heimatverzeichnis Schreibrechte hat). [s.biene@orion ~]$ cat >> liesmich.txt -bash: liesmich.txt: Keine Berechtigung Ob Userin s.biene den Inhalt der Datei mit einem Editor ändern kann oder nicht, bevor sie nicht Eigentümerin ist, ist abhängig von der Arbeitsweise des Editors. Mit dem Editor vi ist es durchaus möglich, da dieser beim Editieren die Änderungen in einer temporären Datei bewahrt und beim Zurückspeichern die alte Datei löscht und die temporäre in eine Datei mit dem alten Namen umbenennt. So hat scheinbar eine Bearbeitung der nur lesbaren Datei mit dem Editor vi stattgefunden. Root ändert den Eigentümer... chown "s.biene":"s.biene" /home/s.biene/liesmich.txt ls -l /home/s.biene/liesmich.txt -rw-r--r-- 1 s.biene s.biene Nov 15:54 /home/s.biene/liesmich.txt... und Userin s.biene kann den Dateiinhalt verändern: [s.biene@orion ~]$ cat >> liesmich.txt Proxy IP: [s.biene@orion ~]$ cat liesmich.txt Trage den Proxy unserer Firma beim Firefox ein, und das Surfen im Internet klappt. -cu root Proxy IP: Gruppenverwaltung Die Dateien /etc/group und /etc/gshadow Die Datei /etc/group enthält die Gruppen- und Datei /etc/gshadow enthält die verschlüsselten Gruppenpassworte. Beachte: Die gshadow Datei muss immer die Rechte besitzen. Es ist sicherer, keine Gruppenpassworte zu vergeben! Jedes Mitglied einer Gruppe benötigt ohnehin kein Passwort für die Gruppenmitgliedschaft vergibt man ein Gruppenpasswort, können Nicht-Gruppenmitglieder mittels dieses Passwortes der Gruppe beitreten, vergibt man kein Gruppenpasswort, können Nicht-Gruppenmitglieder nie der Gruppe beitreten. Die Integrität der group und der gshadow Datei kann mit dem Kommando grpck überprüft und nötigenfalls korrigiert werden. grpck [-r] [Gruppendatei [Shadowdatei]] Gibt man die Passwort- und die Shadowdatei nicht an, werden /etc/group und /etc/gshadow überprüft. -r Read-Only, Inkonsistenzen werden nur angezeigt, aber nicht korrigiert. Beispiel (alles in Ordnung): grpck -r Anlegen einer Gruppe. Zum Anlegen einer Gruppe dient das Kommando groupadd. groupadd Gruppenname Beispiel, eine Gruppe buero anlegen, die später für die ebenfalls anzulegenden Benutzer donald und daisy zum gemeinsamen Dateizugriff gedacht sein soll: useradd donald useradd daisy passwd donald ändere Passwort für Benutzer donald. Geben Sie ein neues Passwort ein: XXXXXX Geben Sie das neue Passwort erneut ein: XXXXXX passwd: alle Authentifizierungsmerkmale erfolgreich aktualisiert. passwd daisy ändere Passwort für Benutzer daisy. Geben Sie ein neues Passwort ein: XXXXXX

8 Linux - Benutzerverwaltung. - 8 / 11 - Geben Sie das neue Passwort erneut ein: XXXXXX passwd: alle Authentifizierungsmerkmale erfolgreich aktualisiert. tail -n 4 /etc/group gnokii:x:988: groupadd buero tail -n 4 /etc/group buero:x:1004: Hinweis: Das Kommando tail gibt die mit der Option -n festgelegte Anzahl an letzten Zeilen einer Datei aus. Benutzer werden mit dem Kommando usermod einer Gruppe hinzugefügt: usermod -G Gruppenname[,...] Benutzername UID mit Benutzername, GID und Gruppenname, Mitgliedschaft in Gruppen können mit dem Kommando id angezeigt werden: id [ <Username> ] Ohne Username, der aktuelle Benutzer. Beispiel, die User donald und daisy werden der Gruppe buero hinzugefügt: usermod -G buero donald usermod -G buero daisy tail -n 4 /etc/group buero:x:1004:donald,daisy id daisy uid=1003(daisy) gid=1003(daisy) Gruppen=1003(daisy),1004(buero) id donald uid=1002(donald) gid=1002(donald) Gruppen=1002(donald),1004(buero) Bereitstellung eines Verzeichnisses für eine Gruppe. Folgende Aktionen werden von Root ausgeführt: Verzeichnis erstellen (mkdir Kommando). Verzeichnis der Gruppe übertragen (chown Kommando, s. weiter oben). Root sollte immer die -h Option verwenden! Gruppenrechte einrichten (chmod Kommando): Die Gruppe besitzt alle Rechte (rwx) am Verzeichnis. Die Rechte für den Rest der Welt richten sich nach dem Zweck dieses Verzeichnisses: sollen die Gruppenmitglieder exklusiv über den Verzeichnisinhalt verfügen so ist --- vorzusehen, soll der Inhalt über einen Server (Webserver, Sambaserver o.ä.) verfügbar sein dann gilt r-x. Damit neu erstellte Dateien und Verzeichnisse nicht die Gruppe des Erstellers tragen, sondern Gruppeneigentum sind, muss das GID Bit gesetzt werden. Dies geschieht durch Angabe einer weiteren führenden Ziffern bei der Rechtevergabe, im Falle des GID Bits ist es die 2. chmod [-R] [n]xxx -st Datei Verzeichnis... -R Rekursiv Unterverzeichnisse bearbeiten. n 1 = Sticky Bit (nur der Eigentümer kann löschen), 2 = GID Bit (Gruppe vererben), 4 = UID Bit (Eigentümer vererben) bzw. Summe obiger Zahlen für Kombinationen (zb. 6 = UID und GID setzen). -st Sticky Bit, GID und UID Bit werden entfernt. xxx Rechte für Eigentümer, Gruppe und Rest der Welt, je eine Ziffer x: 0 = = r-- 5 = r-x 6 = rw- 7 = rwx Beispiel, Bereitstellung eines Verzeichnisses exklusiv für die Gruppe. Von Gruppenmitgliedern neu angelegte Ver-

9 Linux - Benutzerverwaltung. - 9 / 11 - zeichnisse und Ordner gehören immer der Gruppe buero: mkdir /usr/local/buero-pool ls -ld /usr/local/buero-pool drwxr-xr-x. 2 root root Jul 19:20 /usr/local/buero-pool chown -h root.buero /usr/local/buero-pool ls -ld /usr/local/buero-pool drwxr-xr-x. 2 root buero Jul 19:20 /usr/local/buero-pool chmod 2770 /usr/local/buero-pool ls -ld /usr/local/buero-pool drwxrws root buero Jul 19:20 /usr/local/buero-pool Gruppenmitglieder aus Gruppe entfernen, Gruppe löschen. Ein Benutzer wird aus einer Gruppe entfernt mit dem Kommando gpasswd: gpasswd -d Benutzername Gruppenname Eine Gruppe wird gelöscht mit dem Kommando groupdel (damit gehören auch die evtl. noch vorhandenen Mitglieder dieser auch nicht mehr an): groupdel Gruppenname Beispiel: tail -n 4 /etc/group buero:x:1004:donald,daisy id donald uid=1002(donald) gid=1002(donald) Gruppen=1002(donald),1004(buero) gpasswd -d donald buero Removing user donald from group buero tail -n 4 /etc/group buero:x:1004:daisy id donald uid=1002(donald) gid=1002(donald) Gruppen=1002(donald) groupdel buero tail -n 4 /etc/group gnokii:x:988: id daisy uid=1003(daisy) gid=1003(daisy) Gruppen=1003(daisy) rm -rf /usr/local/buero-pool 1.7 Benutzername, Gruppenname, UID und GID ändern. Im folgenden: Ändern des Benutzernamens. Ändern der Benutzer ID. Ändern des Gruppennamens. Ändern der Gruppen ID. Ein Benutzer test sei angelegt: cat /etc/passwd /etc/group grep test

10 Linux - Benutzerverwaltung / 11 - test:x:1002:1002::/home/test:/bin/bash test:x:1002: ls -dl /home/test* drwx test test Feb 15:57 /home/test ls -l /home/test* insgesamt 4 -rw-rw-r--. 1 test test Feb 15:57 test.txt ls -ld /var/spool/mail/test* -rw-rw test mail Feb 15:53 /var/spool/mail/test Vor einer Veränderung ist sicher zu stellen, dass der User nicht eingeloggt ist und sich auch nicht wäh - rend der Änderungen einloggen kann! Mit Kommando usermod kann dem Benutzer ein neuer Loginname vergeben werden, Option -l dem Benutzer ein neues Heimatverzeichnis zugewiesen werden, Option -d der Inhalt des alten Benutzerverzeichnisses in das neue verschoben werden, Option -m usermod -md /home/tester -l tester test cat /etc/passwd /etc/group grep test tester:x:1002:1002::/home/tester:/bin/bash test:x:1002: ls -dl /home/test* drwx tester test Feb 15:57 /home/tester ls -l /home/test* insgesamt 4 -rw-rw-r--. 1 tester test Feb 15:57 test.txt ls -ld /var/spool/mail/test* -rw-rw tester mail Feb 15:53 /var/spool/mail/tester Mit Kommando groupmod kann ein Gruppenname umbenannt werden, Option -n groupmod -n tester test cat /etc/passwd /etc/group grep test tester:x:1002:1002::/home/tester:/bin/bash tester:x:1002: ls -dl /home/test* drwx tester tester Feb 15:57 /home/tester ls -l /home/test* insgesamt 4 -rw-rw-r--. 1 tester tester Feb 15:57 test.txt Mit Kommandos usermod (Option -u) und groupmod (Option -g) können UID und GID geändert werden. Der Benutzer besitzt meist wahrscheinlich noch weitere Dateien und Verzeichnisse (zum Beispiel im temporären Verzeichnis, sein Webspace,...) - deren UIDs werden nicht mit mit usermod geändert! Es ändern sich nie die GIDs von Verzeichnissen und Dateien mit groupmod! groupmod -g 2000 tester usermod -u g 2000 tester cat /etc/passwd /etc/group grep test tester:x:2000:2000::/home/tester:/bin/bash tester:x:2000: ls -ld /home/test* drwx tester Feb 15:57 /home/tester ls -l /home/test* insgesamt 4 -rw-rw-r--. 1 tester Feb 15:57 test.txt ls -ld /var/spool/mail/test* -rw-rw tester mail Feb 15:53 /var/spool/mail/tester

11 Linux - Benutzerverwaltung / 11 - Die Verzeichnissen und Dateien mit alter GID müssen gefunden werden: find / -gid 502 -ls 2>/dev/null drwx tester Feb 13 15:57 /home/tester rw-r--r-- 1 tester Dez 24 19:44 /home/tester/.zshrc rw-r--r-- 1 tester Jun /home/tester/.bash_logout rw tester Feb 13 15:57 /home/tester/.viminfo rw-r--r-- 1 tester Jun /home/tester/.bash_profile rw-r--r-- 1 tester Jun /home/tester/.bashrc rw tester Feb 13 15:57 /home/tester/.bash_history rw-rw-r-- 1 tester Feb 13 15:57 /home/tester/test.txt drwxr-xr-x 2 tester Feb /home/tester/.gnome drwxr-xr-x 4 tester Okt 1 12:16 /home/tester/.mozilla drwxr-xr-x 2 tester Feb /home/tester/.mozilla/extensions drwxr-xr-x 2 tester Feb /home/tester/.mozilla/plugins Man benutzt das Kommando find, um mit dem Kommando chown den gefundenen Dateien/Verzeichnissen die neue Gruppen ID (bzw. entsprechend die neue User ID) zu zuweisen. Vergessen Sie auf keinen Fall die -h Option bei chown! Mit Option -ok müsste jedes mal die Bestätigung erfolgen... find / -gid ok chown -h :tester {} \; < chown... /home/tester >? j < chown... /home/tester/.zshrc >? STRG-C... mit der Option -exec wird das Kommando ohne Rückfrage ausgeführt: find / -gid exec chown -h :tester {} \; find / -gid ls 2>/dev/null ls -ld /home/test* drwx tester tester Feb 15:57 /home/tester ls -l /home/test* insgesamt 4 -rw-rw-r--. 1 tester tester Feb 15:57 test.txt ls -ld /var/spool/mail/test* -rw-rw tester mail Feb 15:53 /var/spool/mail/tester Entsprechend sind eventuelle Verzeichnisse und Dateien mit den alten UIDs zu finden und zu ändern! Vergessen Sie auf keinen Fall die -h Option bei chown! Wenn Sie die Änderung von UID und GID zum Testen durchgeführt haben, machen Sie sie wieder rückgängig bzw. löschen Sie den Account, wenn Sie ihn zu Testzwecken angelegt hatten. 1.8 Benutzer Accounts löschen. Mit dem Kommando userdel können Benutzer und deren Heimatverzeichnisse entfernt werden. userdel [-r] Loginname -r Heimat- und Mailverzeichnis entfernen (engl. remove). Durchsuchen Sie das Dateisystem nach weiteren Dateien und Verzeichnissen ehemaliger Benutzer bzw. Dateien und Verzeichnissen, die keinem Benutzer oder keiner Gruppe gehören. Löschen des Accounts s.biene mit zugehörigen Verzeichnissen und Dateien: userdel -r s.biene passwd -S s.biene passwd: Unbekannter Benutzername 's.biene'. ls /home/s.biene /var/spool/mail/s.biene ls: Zugriff auf /home/s.biene nicht möglich: Datei oder Verzeichnis nicht gefunden ls: Zugriff auf /var/spool/mail/s.biene nicht möglich: Datei oder Verzeichnis nicht gefunden Wäre ohne die -r Option der Account ausgetragen worden, müsste root die zugehörigen Verzeichnissen und Dateien irgendwann manuell löschen: rm -rf /home/s.biene /var/spool/mail/s.biene