\documentclass[a4paper,11pt]{article} \usepackage{ngerman} \usepackage[latin1]{inputenc} \setlength\parskip{\medskipamount} \setlength\parindent{0pt} \begin{document} % Benutzer_unter_Linux % Copyright Heiko Degenhardt % Lizenz: GFDL % % $Name: $ % $Revision: 1.4.2.2 $ % $Source: /cvsroot/selflinux/tutorial/adminbasics/userverwaltung/userverwaltung,v $ % SelfLinux-0.7.2 % % Diese Datei ist Teil von SelfLinux http://www.selflinux.de % %%% $Id: userverwaltung,v 1.4.2.2 2002/11/30 12:28:55 motw_1 Exp $ \title{Benutzerverwaltung unter Linux} \author{Heiko Degenhardt} %\url{mailto:heiko.degenhardt@pingos.schulnetz.org} \maketitle %\ref{../index.tex} %\ref{adminbasics1.tex} Elementare Systemverwaltung \ref{Benutzer_unter_Linux} \par{Layout} Matthias Hagedorn %\url{mailto:herbert-kw@t-online.de} \par{Lizenz} GFDL \tableofcontents{} \section{Einleitung} \label{d28e54} \par Dieses Dokument beschreibt das Benutzerkonzept unter Linux. Es ist als Einführung gedacht. Die Benutzerverwaltung sowie alle daraus resultierenden Aufgaben werden in späteren Kapiteln behandelt. \section{Grundlagen} \label{d28e65} \par Zu den wichtigsten Eigenschaften von Linux zählt sicher die Fähigkeit zu echtem Multi-Tasking und zum Multi-User-Betrieb. {\bf Multi-Tasking} bedeutet dabei, dass mehrere Prozesse (oder auch {\bf Tasks}) parallel ablaufen, und sich somit die Ressourcen teilen. Mit {\bf Multi-User} ist gemeint, dass mehrere Benutzer gleichzeitig am System arbeiten können, somit also das Multi-Tasking ausnutzen. Hierbei werden die einzelnen Benutzer, die Prozesse/Tasks, die sie starten und auch die von ihnen angelegten Dateien/Verzeichnisse vom Betriebssystem getrennt und die Zugriffe darauf kontrolliert. \par In der Windows-Welt ist dieser Multi-User-Betrieb eigentlich kaum bekannt. Hier kann man zwar z.B. auch mehrere Benutzer auf dem System anlegen. Diese können aber (im Normalfall) nicht {\bf parallel} am System arbeiten. \section{Vorteile von Multi-User-Systemen} \label{d28e91} \par Natürlich erscheint ein Multi-User-System nicht auf Anhieb von Vorteil auch für den Privatanwender zu sein. In erster Linie denkt man hierbei sicher an Server, auf die viele Kunden gleichzeitig Zugriff über Shell-Accounts, FTP, WWW oder was auch immer haben. Trotzdem bringt dieses Konzept auch für {\bf normale} Anwender entscheidende Vorteile: \begin{list}{*}{} \item Ein solches System führt zu einer disziplinierteren Arbeit (man kann sehr genau darauf achten, unter welchem Account man welche Aufgaben erledigt). \item Die Sicherheit ist erheblich erhöht, da die Zugriffsrechte auf Daten, Prozesse etc. je nach Benutzer und Nutzergruppe kontrolliert und eingeschränkt werden können. \linebreak (Dies macht es z.B. möglich, dass selbst wenn sich ein Benutzer etwa einen Virus {\bf einfangen} würde, dieser nur Zugriff auf die Daten des Benutzers hätte. Natürlich ist dafür das o.g. disziplinierte Arbeiten Voraussetzung) \end{list} \section{Das Linux-Benutzerkonzept} \label{d28e119} \par Unter Linux werden alle Benutzer, die am System arbeiten können sollen, zu Benutzergruppen zusammengefasst. Alle Ressourcen können nun daraufhin freigegeben werden, welche Gruppe oder welcher Benutzer mit ihnen arbeiten können soll. Diese Rechtevergabe unterscheidet dabei nach: \begin{list}{*}{} \item Der sog. User-ID (uid) \linebreak Dies ist die ID, mit der sich ein Benutzer am System anmeldet. \item Der effektiven User-ID (euid) \linebreak Dies ist die ID, mit der versucht wird, auf eine Resource zuzugreifen. \item Der Group-ID (gid) \linebreak Die Entsprechung der uid für die Gruppenzugehörigkeit. \item Der effektiven Group-ID (egid) \linebreak Dies entspricht der euid auf Gruppenbasis. \end{list} \par Für die Zugriffskontrolle überprüft das System bei jedem Zugriff auf eine Resource, unter welcher effektiven uid/guid der Zugriff erfolgt. Somit ist es z.B. möglich, unter der uid eines Benutzers zu arbeiten, aber trotzdem (temporär) auf Dateien zuzugreifen, die anderen Gruppen gehören. \par Beispiel: Beim Ändern des Passworts eines Benutzers muss das Programm {\bf passwd} z.B. auf die Datei {\bf /etc/shadow} zugreifen, auf die normalerweise kein Benutzer die notwendigen Rechte hat. Trotzdem kann das Programm {\bf passwd} diese Dateien lesen, da es {\bf zwischenzeitlich} einmal von der {\bf uid} des Benutzers (der es aufruft) zur {\bf uid} von root wechselt, und damit über die notwendigen Rechte verfügt. Dies ist möglich, da die auführbare Datei {\bf /usr/bin/passwd} das sog. {\bf set uid}-Bit gesetzt hat: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ ls -al /usr/bin/passwd \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} -rwsr-xr-x\verb+ +\verb+ +1 root\verb+ +\verb+ + root\verb+ +\verb+ +\verb+ +\verb+ +24680 Apr\verb+ +7 17:59\end{scriptsize} \end{tt} \linebreak (dies wird durch das erste ''s'' angezeigt). \par Für weitere Informationen hierzu sei auf {\bf info chmod} und {\bf man chmod} verwiesen. \section{Wichtige Befehle} \label{d28e210} \subsection{ls -al - Anzeigen von Datei- und Verzeichniseigenschaften} \label{d28e217} \par Beispiel: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ ls -al \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} total 8\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ +2 hede\verb+ +\verb+ + hede\verb+ +\verb+ +\verb+ +\verb+ + 4096 Jul 10 07:25 .\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ +8 hede\verb+ +\verb+ + hede\verb+ +\verb+ +\verb+ +\verb+ + 4096 Jul 10 07:25 ..\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} -rw-r--r--\verb+ +\verb+ +1 hede\verb+ +\verb+ + hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +0 Jul 10 07:25 test.txt\end{scriptsize} \end{tt} \linebreak \par Die Datei test.txt gehört dem Benutzer hede und der Gruppe hede. Der Eigentümer darf lesen und schreiben, die Gruppe und alle anderen nur lesen. \subsection{chmod - Ändern der Dateizugriffsrechte} \label{d28e252} \par Beispiel: Um dafür zu sorgen, dass alle Mitglieder der Gruppe auch schreibend auf die Datei zugreifen dürfen, und kein anderer lesen darf, gibt man ein: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ chmod 660 test.txt \end{scriptsize} \end{tt} \linebreak \par Überprüfung: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ ls -al \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} total 8\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ + 2 hede\verb+ +\verb+ +\verb+ +hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +4096 Jul 10 07:25 .\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ + 8 hede\verb+ +\verb+ +\verb+ +hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +4096 Jul 10 07:25 ..\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} -rw-rw----\verb+ +\verb+ + 1 hede\verb+ +\verb+ +\verb+ +hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +\verb+ + 0 Jul 10 07:25 test.txt\end{scriptsize} \end{tt} \linebreak \subsection{chown - Ändern von Eigentümer und Gruppe von Dateien und Verzeichnissen} \label{d28e296} \par Soll nun z.B. die Gruppe floppy der Besitzer der Datei werden, gibt man ein: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ chown hede:floppy test.txt \end{scriptsize} \end{tt} \linebreak \par Test: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ ls -al \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} total 8\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ + 2 hede\verb+ +\verb+ +\verb+ +hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +4096 Jul 10 07:25 .\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ + 8 hede\verb+ +\verb+ +\verb+ +hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +4096 Jul 10 07:25 ..\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} -rw-rw----\verb+ +\verb+ + 1 hede\verb+ +\verb+ +\verb+ +floppy\verb+ +\verb+ +\verb+ +\verb+ +\verb+ + 0 Jul 10 07:25 test.txt\end{scriptsize} \end{tt} \linebreak \par Um den Eigentümer und die Gruppe zu ändern, braucht man ausreichende Rechte. Meist muss dies also der Root-Benutzer tun. Prinzipiell muss man der Gruppe angehören, die man zum Eigentümer der Datei machen möchte. \subsection{chgrp - Ändern der Gruppenzugehörigkeit von Dateien oder Verzeichnissen} \label{d28e340} \par Auch mit diesem Befehl kann man die Gruppenzugehörigkeit von Dateien etc. ändern. Soll nun doch die Gruppe users der Eigentümer unserer Test-Datei werden, erreicht man dies durch: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ chgrp users test.txt \end{scriptsize} \end{tt} \linebreak \par Nachweis: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ ls -al \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} total 8\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ + 2 hede\verb+ +\verb+ +\verb+ +hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +4096 Jul 10 07:25 .\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} drwxr-xr-x\verb+ +\verb+ + 8 hede\verb+ +\verb+ +\verb+ +hede\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +4096 Jul 10 07:25 ..\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} -rw-rw----\verb+ +\verb+ + 1 hede\verb+ +\verb+ +\verb+ +users\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +0 Jul 10 07:25 test.txt\end{scriptsize} \end{tt} \linebreak \par Auch hierfür braucht man die entsprechenden Rechte. \subsection{id - Herausfinden der effektiven UIDs und GIDs} \label{d28e384} \par Möchte man Informationen darüber erhalten, unter welcher UID man eingeloggt ist, zu welchen Gruppen man gehört, was die primäre Gruppe ist etc., kann man den Befehl {\bf id} verwenden: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ id \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} uid=1000(hede) gid=1000(hede)\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} groups=1000(hede),25(floppy),100(users)\end{scriptsize} \end{tt} \linebreak \subsection{groups - Herausfinden, zu welchen Gruppen man gehört} \label{d28e413} \par Mit dem Befehl ''groups'' kann man sich anzeigen lassen, zu welchen Gruppen man gehört: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ groups \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} hede floppy users\end{scriptsize} \end{tt} \linebreak \par Diese Informationen kann man sich auch für andere Benutzer anzeigen lassen: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ groups root \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} root : root\end{scriptsize} \end{tt} \linebreak \subsection{Herausfinden, wer am System eingeloggt ist} \label{d28e448} \par Um mal zu sehen, wer gerade am System arbeitet, kann man folgendes Kommando verwenden: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ w \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} 07:37:58 up 15 days, 49 min,\verb+ +5 users, load average: 0.05, 0.08 0.03\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} USER\verb+ +\verb+ +TTY\verb+ +\verb+ +\verb+ + FROM\verb+ +\verb+ +\verb+ + LOGIN@\verb+ +\verb+ +IDLE\verb+ +\verb+ +JCPU\verb+ +\verb+ +PCPU\verb+ +\verb+ +WHAT\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} root\verb+ +\verb+ +tty1\verb+ +\verb+ +\verb+ +-\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +25Jun02\verb+ + 6:20\verb+ +\verb+ +0.82s\verb+ + 0.82s\verb+ + -bash\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ +tty2\verb+ +\verb+ +\verb+ +-\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +02Jul02\verb+ + 7days\verb+ + 0.30s\verb+ + 0.30s\verb+ + -bash\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ +tty3\verb+ +\verb+ +\verb+ +-\verb+ +\verb+ +\verb+ +\verb+ +\verb+ +Thu16\verb+ +\verb+ + 5days\verb+ + 0.21s\verb+ + 0.21s\verb+ + -bash\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ +pts/0\verb+ +\verb+ +www2\verb+ +\verb+ +\verb+ +\verb+ +Mon11\verb+ +\verb+ + 3.00s\verb+ + 3.94s\verb+ + 3.45s\verb+ + vim t.txt\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ +pts/1\verb+ +\verb+ +www2\verb+ +\verb+ +\verb+ +\verb+ +07:32\verb+ +\verb+ + 0.00s\verb+ + 0.13s\verb+ + 0.06s\verb+ + w\end{scriptsize} \end{tt} \linebreak \par Damit kann man also auch sehen, woher jemand eingeloggt ist, und was er gerade macht. \par Eine verkürztere Information liefert der Befehl who: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ who \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} root\verb+ +\verb+ + tty1\verb+ +\verb+ +\verb+ +\verb+ + Jun 25 06:49\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ + tty2\verb+ +\verb+ +\verb+ +\verb+ + Jul\verb+ +2 07:47\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ + tty3\verb+ +\verb+ +\verb+ +\verb+ + Jul\verb+ +4 16:28\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ + pts/0\verb+ +\verb+ +\verb+ +\verb+ +Jul\verb+ +8 11:45 (www2.sentec-elektronik.de)\end{scriptsize} \end{tt} \linebreak \linebreak\begin{tt} \begin{scriptsize} hede\verb+ +\verb+ + pts/1\verb+ +\verb+ +\verb+ +\verb+ +Jul 10 07:32 (www2.sentec-elektronik.de)\end{scriptsize} \end{tt} \linebreak \par Ist man sich nun nicht mehr sicher, wer man selbst ist, hilft einem Linux auch dabei. \linebreak Man gibt einfach {\bf whoami} ein und bekommt die aktuelle uid angezeigt: \begin{tt} \begin{scriptsize} user@linux \~{}/temp/ \$ hede@www:\~{}/temp\$ whoami \end{scriptsize} \end{tt} \linebreak \begin{tt} \begin{scriptsize} hede\end{scriptsize} \end{tt} \linebreak \subsection{Herausfinden von Informationen über laufende Prozesse, offene Dateien etc.} \label{d28e530} HINWEIS: Ich werde hier zu diesen Befehl keine Beispiele mehr einfügen, da dies einerseits das Dokument zu sehr aufblähen würde, und andererseits diese Befehle leicht ausprobiert werden können! \par Mit {\bf lsof} (etwa {\bf list open files}) kann man ermitteln, welche Dateien gerade geöffnet sind, und von wem. \par {\bf ps aux} zeigt laufenden Prozesse (mit zusätzlichen Infos über Eigentümer, Ressourcenverbrauch etc.) an. \subsection{Benutzerverwaltung} \label{d28e556} \par Für die Benutzerverwaltung, also das Anlegen, Ändern, Löschen von Benutzern und Gruppen, dienen die folgenden Befehle: %table \begin{tabular}{|l|l|} \hline \begin{minipage}{60mm} {\bf useradd} \end{minipage} & \begin{minipage}{60mm} Neuen Benutzer anlegen \end{minipage} \\ \hline \begin{minipage}{60mm} {\bf usermod} \end{minipage} & \begin{minipage}{60mm} Existierenden Benutzer verändern \end{minipage} \\ \hline \begin{minipage}{60mm} {\bf groupadd} \end{minipage} & \begin{minipage}{60mm} Gruppe anlegen \end{minipage} \\ \hline \begin{minipage}{60mm} {\bf groupmod} \end{minipage} & \begin{minipage}{60mm} Existierende Gruppe verändern \end{minipage} \\ \hline \end{tabular} \par Diese werden in einem eigenen Kapitel von SelfLinux behandelt, weshalb ich hier nicht näher darauf eingehen möchte. \par Ausserdem gibt es (je nach Distribution) noch weitere Möglichkeiten, diese Verwaltungsaufgaben zu erledigen. So bietet bspw. Debian die Tools {\bf adduser}, {\bf addgroup}, {\bf deluser}, {\bf delgroup} an. Unter SuSE Linux kann man diese Aufgaben auch bequem mit {\bf yast} erledigen. \section{Hinweise} \label{d28e652} \par Hier folgen noch ein paar (wenige) Hinweise für ein {\bf vernünftiges} Arbeiten unter Ausnutzung des Benutzerkonzepts: \begin{list}{*}{} \item Man sollte grundsätzlich nur dann als Root arbeiten, wenn es unbedingt notwendig ist! \linebreak Dies hat den Vorteil, dass man nicht {\bf aus Versehen} mal zu viele wichtige Dateien löscht. Ausserdem muss man sich vorstellen, dass alle Prozesse (also bspw. auch Mail-Tools), die unter dem Root-Account laufen, \_vollen\_ Zugriff auf das gesamte System haben! Tritt also dabei ein Fehler auf, oder enthält das Programm z.B. Code, wie er z.B. auf anderen Systemen als Virus oder Trojaner vorkommt, ist das gesamte System gefährdet! \item Alle Dienste/Server, die man betreibt, sollten mit so wenig Rechten wie möglich laufen! \linebreak Dies ist bei den meisten Systemen standardmässig so eingestellt. \item Als Benutzer sollte man sich gut überlegen, welche Zugriffsrechte man seinen Dateien oder Verzeichnissen gibt! Dies hat nicht nur die Schutzfunktion für die Privatssphäre, sondern auch sichheitstechnische Aspekte! \end{list} \ref{inhalt.tex} \end{document}