Foliensatz 4
Benutzerverwaltung
Inhalt
• Allgemeines
• Merkmale von Benutzer und Gruppen
• Lokale Benutzer und Gruppen
• PAM und NSS
• Befehle für die Benutzer- und Gruppenverwaltung
• Benutzer- und Gruppenverwaltung mit Puppet
Allgemeines 1
Unter Linux gibt es ein einfaches Benutzer(account)- bzw. Berechtigungskonzept:
• Es gibt einen speziellen Benutzer, üblicherweise root genannt, der alles darf.
• Daneben gibt es noch viele „normale“ Benutzer, die grundsätzlich die gleichen Rechte haben.
• Ein Benutzer ist auch immer einer oder mehreren Gruppen zugeordnet, die bestimmte Rechte haben.
Allerdings gibt es eine Vielzahl an Möglichkeiten, wie man bestimmten Benutzern mehr erlauben kann:
• durch Zuordnung zu bestimmten Gruppen
• über den sudo-Befehl
• durch Zuordnung sogenannter Fähigkeiten (Capabilities; seit Linux 2.2)
Wichtig ist auch immer der Unterschied Authentifikation (Bin ich wirklich der, der ich vorgebe zu sein?) und Autorisation (Was darf ich?)!
Allgemeines 2
Wie generell bei der Systemadministration ist es auch bei der Benutzerverwaltung wichtig, möglichst alles zu automatisieren:
• Anlegen von Benutzern (kann in manchen Umgebungen aus vielen Schritten bestehen, z.B. Anlegen eines Benutzerkontos in einem LDAP-Verzeichnis, Erstellen des Home-Verzeichnisses und eines Windows-Profil-Verzeichnisses auf einem Dateiserver, Eintragen des Benutzers in Mailing-Listen, …)
• Löschen von Benutzern (Benutzerkonto und sämtliche Daten löschen; zur Sicherheit ein Backup der Daten machen)
• Regelmäßiges Entfernen von „Karteileichen“ aus dem System
Damit können Benutzerfehler vermieden und alle Schritte auch ohne Zusatzaufwand dokumentiert werden.
Benutzer - Merkmale
Jeder Benutzer besitzt unter Linux bestimmte Merkmale:
• Name: Ein eindeutiger Loginname für den Benutzer.
• UID (User ID): Eine eindeutige Nummer für den Benutzer (>=0).
• GID (Group ID): Die Nummer der primären Gruppe des Benutzers.
• GECOS-Feld: Enthält den realen Namen sowie eventuell zusätzliche Informationen über den Benutzer (z.B. Raumnummer und Telefonnummer). Der Name stammt von frühen Unix-Maschinen mit dem Namen GECOS (General Comprehensive Operating System), die dieses Feld für zusätzliche Informationen nutzten.
• Home-Verzeichnis: Das Verzeichnis, in dem der Benutzer alle seine Daten abspeichern kann bzw. in dem seine Konfigurationsdateien liegen (üblicherweise /home/BENUTZER_NAME).
• Login-Shell: Der Pfad des Programms, das beim Einloggen des Benutzers ausgeführt werden soll.
Benutzer - Details zu Merkmalen
• Der Loginname sollte nur aus Kleinbuchstaben, Ziffern und dem Unterstrich bestehen und mit einem Buchstaben beginnen (siehe auch Sektion CAVEATS in useradd(8)).
• Die Loginnamen dienen lediglich der Darstellung gegenüber Benutzern des Systems, intern (z.B. auf Prozess- und Dateisystemebene) werden immer die numerischen Werte (UID, GID) verwendet.
• Die Anzahl der möglichen UIDs/GIDs seit Linux 2.6 ist 4294967296 (i.e. 2^32).
• Der spezielle Benutzer, root, muss die UID 0 haben (ist natürlich standardmäßig der Fall).
• Das Home-Verzeichnis eines Benutzers muss nicht unbedingt existieren. Als Ersatz wird dann das Root-Verzeichnis (/) verwendet. Da ein normaler Benutzer nicht die Berechtigung hat, im Root- Verzeichnis Dateien anzulegen/zu verändern, funktionieren dann aber einige Sachen nicht richtig (z.B. funktioniert das Einloggen auf der graphischen Oberfläche nicht).
• Die Informationen im GECOS-Feld werden von einigen Applikationen ausgewertet (z.B. vom Programm finger), sind aber nicht direkt für das System wichtig.
Gruppen
• Wie Benutzer haben auch Gruppen bestimmte Merkmale:
• Name: Ein eindeutiger Gruppenname.
• GID: Eine eindeutige Nummer für die Gruppe.
• Gruppenmitglieder: Eine Liste der Benutzer, die in dieser Gruppe Mitglied sein sollen.
• Jeder Benutzer hat eine primäre Gruppe: Das ist die Gruppe, die direkt bei den Merkmalen des Benutzers angegeben ist.
• Die primäre Gruppe wird z.B. beim Anlegen von neuen Dateien oder beim Starten von Prozessen verwendet (jeder Datei/jedem Prozess ist ja sowohl eine UID als auch eine GID zugeordnet, um Berechtigungen zu prüfen).
• Zusätzlich kann ein Benutzer Mitglied in beliebigen anderen Gruppen sein, das sind dann die sekundären Gruppen des Benutzers. Temporär kann ein Benutzer mittels des Befehls newgrp seine primäre Gruppe ändern.
Lokale Benutzer/Gruppen
• Standardmäßig werden Benutzer und Gruppen lokal am System definiert. Dazu werden die folgenden Dateien verwendet:
• /etc/passwd: Benutzerdaten
• /etc/group: Gruppendaten
• /etc/shadow: Passwörter und Passwortrichtlinien für Benutzer
• /etc/gshadow: Passwörter für Gruppen
• Wichtig: Diese Dateien sollten nur mit den Befehlen vipw bzw. vigr editiert werden, um Datenkorruption vorzubeugen. Schleicht sich nämlich ein Fehler ein, so kann es sein, dass man nicht mehr einloggen kann!
Lokale Benutzer - /etc/passwd 1
• In der Passwortdatei /etc/passwd sind die Benutzer mit ihren Merkmalen gespeichert. Diese Datei muss von allen Benutzer gelesen werden können. Im Gegensatz zu ihrem Namen sollte das Passwort in der Passwortdatei nicht gespeichert werden!
• Jede Zeile beschreibt einen Benutzter, die einzelnen Werte sind mit Doppelpunkten von einander getrennt.
• Eine typische Zeile sieht zum Beispiel so aus (man 5 passwd):
root:x:0:0:root:/root:/bin/bash / | \ \ \ \ \
Benutzername | \ GID GECOS \ Login-Shell Passwort UID Home-Verzeichnis
Lokale Benutzer - /etc/passwd 2
• Es sind also alle zuvor genannten Merkmale eines Benutzers vorhanden und zusätzlich noch ein Passwort-Feld. Folgende Werte darf das Passwort-Feld besitzen:
• Kein Wert: Der Benutzer kann sich ohne Passwort einloggen. Allerdings kann es sein, dass manche Applikationen dann den Zugriff vollständig verbieten. D.h. man sollte hier immer etwas eintragen!
• x: Steht im Passwort-Feld ein kleines „x“, dann bedeutet das, dass das verschlüsselte Passwort in der Datei /etc/shadow zu finden ist. In diesem Fall muss es eine entsprechende Zeile in dieser Datei geben!
• Jeder andere Wert wird als verschlüsseltes Passwort interpretiert.
Lokale Passwörter - /etc/shadow 1
• Da die Passwortdatei /etc/passwd von allen Benutzer gelesen werden können soll, ist es nicht ratsam, darin die Passwörter zu speichern. Daher gibt es die Möglichkeit, beim Passwort-Feld ein „x“
einzugeben, was für das System bedeutet, dass das eigentlich Passwort in der Shadowdatei /etc/shadow gespeichert ist.
• Diese Datei hat die gleiche Syntax wie /etc/passwd, die Felder haben aber eine andere Bedeutung.
Hier wieder eine typische Zeile (siehe auch man 5 shadow):
root:*:15779:0:99999:7: : : | | | | | | | | \
| | | | | | | \ Reserviertes Feld | | | | | | \ Ablaufdatum des Kontos
| | | | | \ Passwortänderungszeitraum nach Passwortablauf (Tage) | | | | \ Warnzeitraum vor Passwortablauf (Tage)
| | | \ Maximales Passwortalter (Tage) | | \ Minimales Passwortalter (Tage) | \ Datum der letzten Passwortänderung \ verschlüsseltes Passwort
Benutzername
Lokale Passwörter - /etc/shadow 2
• Die Datumsangaben erfolgen immer als Anzahl der Tage seit 1. Jänner 1970.
• Das Feld für das verschlüsselte Passwort kann folgende Werte enthalten:
• Kein Wert: Gleicher Effekt wie leeres Passwort-Feld in /etc/passwd.
• Verschlüsseltes Passwort: Erkennt man daran, dass der Wert mit $ID$ anfängt (ID gibt den Verschlüsselungsalgorithmus an).
• !...: Fängt das Passwort-Feld mit einem Rufzeichen an, so ist das Konto gesperrt.
• Andere Werte (z.B. *) zeigen ein ungültiges Passwort an; der Benutzer kann also nicht mit einem Passwort einloggen (aber eventuell mit anderen Methoden).
Lokale Gruppen - /etc/group
• In dieser Datei sind die Gruppen mit ihren Merkmalen gespeichert. Wie in /etc/passwd wird pro Zeile eine Gruppe definiert.
• Eine typische Zeile sieht so aus:
adm:x:4:thomas,admin / | | \
Gruppenname / \ Liste von Gruppenmitgliedern Passwort GID
• In der Datei /etc/gshadow könnten verschlüsselte Passwörter für Gruppen gesetzt werden. Es ist allerdings sehr unüblich, Passwörter für Gruppen zu vergeben.
Authentifikation/Autorisation mit PAM 1
• Die Authentifikation (und ein Teil der Autorisation) erfolgt unter Linux fast immer über PAM (Pluggable Authentication Modules for Linux, siehe auch man 7 pam).
• Es gibt vier unterschiedliche Bereiche innerhalb vom PAM:
• account: Methoden zur Überprüfung des Kontos (Ist das Passwort abgelaufen? Darf der Benutzer
auf das Service zugreifen?)
• auth: Methoden zur Authentifizierung des Benutzer (z.B. über ein Passwort, eine ID-Karte oder einen Fingerabdruckscanner)
• password: Methoden zur Änderung der Authentifikation (z.B. ändern des Passworts)
• session: Methoden, die es erlauben, vor und nach Erteilung des Zugriffs bestimmte Dinge zu tun (z.B. Loggen, wenn sich ein Benutzer an- bzw. abmeldet)
• Die Konfiguration erfolgt durch Dateien im Verzeichnis /etc/pam.d/. Unter Ubuntu sind die Standardeinstellungen in den Dateien common-account, common-auth, common-password und common-session zu finden.
Authentifikation/Autorisation mit PAM 2
Einige PAM-Module kurz im Überblick (eine Liste aller Module bekommt man über apt-cache search libpam):
• pam_unix: Das Standard-Unix-Modul. Es erlaubt die Authentifikation und Autorisation über die Passwort- und über die Shadowdatei.
• pam_env: Setzen/Löschen von Umgebungsvariablen (verwendet die Datei /etc/security/pam_env.conf zur Konfiguration).
• pam_limits: Aktiviert Beschränkungen in Bezug auf Systemressourcen (z.B. CPU-Zeit; verwendet die Datei /etc/security/limits.conf zur Konfiguration).
• pam_group: Dynamisches Zuweisung von Gruppen zu Benutzern (verwendet die Datei /etc/security/group.conf zur Konfiguration).
• pam_cap: Zuweisen von „Fähigkeiten“ (verwendet die Datei /etc/security/capabilities.conf zur Konfiguration).
• pam_ldap: Authentifikation über einen LDAP-Verzeichnis-Server (z.B. OpenLDAP oder Microsoft Active Directory). Dieses Modul sollte man immer gemeinsam mit dem nss_ldap-Modul für den Name Service Switch verwenden.
Name Service Switch (NSS)
• Der Name Service Switch (NSS) dient unter Linux dazu, verschiedene Quellen für Namensdienste zu konfigurieren. Unter Namensdienste fallen zum Beispiel Benutzerdaten, Gruppendaten, Passwortdaten und Host-Namen.
• Konfiguriert wird der NSS über die Datei /etc/nsswitch.conf. Hier ein Ausschnitt aus dieser:
passwd: compat group: compat shadow: compat
hosts: files dns mdns4
• In den ersten drei Zeilen wird für die Dienste passwd, group und shadow (i.e. Benutzer-, Gruppen- und Passwortdaten) das compat-Modul verwendet (d.h. die Daten werden von den oben besprochenen Dateien gelesen werden).
• Die Auflösung der Host-Namen erfolgt zuerst durch die lokale Datei /etc/hosts, dann über das DNS-System und zum Schluss über einen Multicast DNS-Klienten.
• Eine Auflistung aller vorhandenen Module bekommt man über apt-cache search libnss.
Allgemeine Befehle - getent
getent - Zeigt Datensätze aus einer Administrationsdatenbank an.
» Die folgenden, über NSS konfigurierbaren Datenbanken können ausgelesen werden: passwd, group, hosts, services, protocols und networks.
» Der Befehl ist besonders nützlich, wenn nicht nur lokale (d.h. am System definierte) Daten vorhanden sind, sondern auch externe Daten (z.B. aus einem LDAP-Verzeichnis).
» $ getent passwd | head -n 3 root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh
$ getent group root root:x:0:
$ getent hosts
127.0.0.1 localhost 127.0.1.1 praxis
127.0.0.1 ip6-localhost ip6-loopback
Allgemeine Befehle - id, groups
id - Zeigt Benutzer- und Gruppeninformationen an.
» Verwendet den aktuellen Benutzer oder den via Parameter angegebenen.
» $ id
uid=1000(praxis) gid=1000(praxis) Gruppen=1000(praxis),4(adm),24(cdrom),27(sudo), 30(dip),46(plugdev),111(lpadmin),112(sambashare)
$ id root
uid=0(root) gid=0(root) Gruppen=0(root)
groups - Zeigt die Gruppen eines Benutzers an.
» Verwendet den aktuellen Benutzer oder die via Parameter angegebenen.
» $ groups
praxis adm cdrom sudo dip plugdev lpadmin sambashare
$ groups root praxis root : root
praxis : praxis adm cdrom sudo dip plugdev lpadmin sambashare
Befehle für Benutzerverwaltung - useradd
useradd - Legt ein neues Benutzerkonto an.
» Standardwerte für einige Optionen sind in /etc/default/useradd und /etc/login.defs hinterlegt.
» Optionen:
• -d Home-Verzeichnis → Home-Verzeichnis
• -m → Home-Verzeichnis anlegen, Daten von Skeleton-Verzeichnis kopieren
• -k Verzeichnis → Verzeichnis als Skeleton-Verzeichnis verwenden
• -g GID → primäre Gruppe (GID oder Name)
• -G Gruppe[,Gruppe...] → sekundäre Gruppen
• -e Ablaufdatum → Ablaufdatum des Kontos
• -s Shell → Login-Shell
» $ useradd -d /home/leitnert -k /etc/skel_lehrer -m -g lehrer leitnert
$ getent passwd leitnert
leitnert:x:1001:1002::/home/leitnert:/bin/sh
Unter Ubuntu (Debian) gibt es auch das Programm adduser, das ein freundlicheres Frontend für useradd und verwandte Befehle ist.
Befehle für Benutzerverwaltung - usermod
usermod - Modifiziert ein Benutzerkonto.
» Optionen:
• -L → Benutzerpasswort sperren
• -U → Benutzerpasswort entsperren
• -g GID → primäre Gruppe ändern
• -G Gruppe[,Gruppe...] → sekundäre Gruppen setzen
• -l NeuerName → Benutzernamen ändern
• -u UID → UID ändern (Dateien im Home-Verzeichnis bekommen die neue UID automatisch gesetzt)
• -s Shell → Login-Shell ändern.
» Aufpassen beim Ändern des Namens und der UID: Der Benutzer sollte nicht eingeloggt sein!
» $ getent passwd leitnert
leitnert:x:1001:1002::/home/leitnert:/bin/sh
$ usermod -s /bin/bash -g adm leitnert
$ getent passwd leitnert
leitnert:x:1001:4::/home/leitnert:/bin/bash
Befehle für Benutzerverwaltung - userdel
userdel - Löscht ein Benutzerkonto.
» Optionen: -r → lösche das Home-Verzeichnis des Benutzers.
» $ find /home/leitnert /home/leitnert
$ userdel -r leitnert
$ getent passwd leitnert
$ find /home/leitnert
find: "/home/leitnert": Datei oder Verzeichnis nicht gefunden
Befehle für Benutzerverwaltung - chsh, chfn
chsh - Ändert die Login-Shell.
» Kann ein Benutzer selbst ausführen.
» Die Datei /etc/shells wird konsultiert und nur die darin aufgelisteten Programme kann ein Benutzer als Login-Shell setzen.
» Vor dem Ändern muss man sich authentifizieren.
chfn - Ändert die Informationen im GECOS-Feld.
» Kann ein Benutzer selbst ausführen.
» Vor dem Ändern muss man sich authentifizieren.
» Was genau der Benutzer ändern darf, ist über den Schlüssel CHFN_RESTRICT in der Datei /etc/login.defs festgelegt.
Befehle für Benutzerverwaltung - chage
chage - Ändert Passwortablaufinformation oder zeigt sie an.
» Alle zusätzlichen Informationen, die in der Shadowdatei gespeichert werden, können geändert werden.
» Optionen (Auszug):
• -d Datum → Ändert das Datum der letzten Passwortänderung
• -E Datum → Ändert das Ablaufdatum
• -l → Zeigt die Passwortablaufinformationen an
» Normale Benutzer können nur die Option -l verwenden.
» $ chage -l praxis
Last password change : Mär 17, 2013 Password expires : never
Password inactive : never
Account expires : Mär 20, 2013 Minimum number of days between password change : 0
Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
$ chage -d 2013-03-01 praxis
$ chage -l praxis | head -n 1
Last password change : Mär 01, 2013
Befehle für Benutzerverwaltung - passwd
passwd - Ändert das Passwort eines Benutzers.
» Der Administrator kann ohne Wissen des Passworts das Passwort eines Benutzers ändern. Er muss sich auch nicht an die Passwortrichtlinien halten.
» Ähnlich zum Befehl chage können auch Passwortablaufinformationen geändert werden.
» $ passwd praxis
Ändern des Passworts für praxis.
(aktuelles) UNIX-Passwort: --><b>Aktuelles Passwort eingeben</b><--
Geben Sie ein neues UNIX-Passwort ein: --><b>Kurzes Passwort eingeben</b><-- Geben Sie das neue UNIX-Passwort erneut ein: --><b>Kurzes Passwort eingeben</b><--
Sie müssen ein längeres Passwort auswählen.
Geben Sie ein neues UNIX-Passwort ein: --><b>Langes Passwort eingeben</b><-- Geben Sie das neue UNIX-Passwort erneut ein: --><b>Langes Passwort eingeben</b><--
passwd: password updated successfully
$ passwd -l praxis
passwd: password expiry information changed.
$ passwd -S praxis
praxis L 03/01/2013 0 99999 7 -1
$ passwd -u praxis
passwd: password expiry information changed.
$ passwd -S praxis
praxis P 03/01/2013 0 99999 7 -1
Befehle für Gruppenverwaltung - groupadd, groupmod, groupdel
groupadd - Legt eine neue Gruppe an.
» Optionen: -g GID → die GID der Gruppe.
» $ groupadd lehrer
$ getent group lehrer lehrer:x:1002:
groupmod - Ändert Gruppeninformationen.
» Optionen: -g GID → ändert die GID, -n Name → ändert den Gruppennamen.
» $ groupmod -g 1515 -n teachers lehrer
$ getent group teachers teachers:x:1515:
groupdel - Löscht eine Gruppe.
» $ groupdel teachers
$ groupdel praxis
groupdel: cannot remove the primary group of user 'praxis'
Benutzerverwaltung mit Puppet
• Benutzer werden in Puppet über die Ressource user verwaltet.
• Unter Ubuntu wird standardmäßig der Provider useradd verwendet.
• Wichtige Attribute:
• name: Der Name des Benutzers (falls nicht angegeben, wird der Titel verwendet).
• ensure: Der gewünschte Zustand (present, absent, role)
• allowdupe: Spezifiziert, ob doppelte UIDs erlaubt sind.
• comment: Beschreibung des Benutzers (i.e. GECOS-Informationen).
• expiry: Ablaufdatum (absent oder ein Datum im Format YYYY-mm-dd)
• gid: Die primäre Gruppe (mittels Zahl oder Name).
• groups: Sekundäre Gruppen (als Namen).
• home: Das Home-Verzeichnis.
• password: Das verschlüsselte (!) Passwort.
• shell: Die Login-Shell.
• uid: Die UID.
Benutzerverwaltung mit Puppet - Beispiele
• Anlegen oder Modifizieren eines Benutzers:
user {'test':
ensure => present, uid => 1234, gid => 100,
groups => ['adm', 'sudo'], home => '/home/praxis', shell => '/bin/bash',
password => '$1$lj/Uyf9q$omFP02phveFcFZ63UF4jt/' # test
}
Das verschlüsselte Passwort kann z.B. mit openssl passwd -1 erstellt werden.
• Löschen eines Benutzer:
user {'test': ensure => absent}
Gruppenverwaltung mit Puppet
• Gruppen werden in Puppet über die Ressource group verwaltet.
• Unter Ubuntu wird standardmäßig der Provider groupadd verwendet.
• Wichtige Attribute:
• name: Der Name der Gruppe (falls nicht angegeben, wird der Titel verwendet).
• ensure: Der gewünschte Zustand (present oder absent)
• allowdupe: Spezifiziert, ob doppelte GIDs erlaubt sind.
• gid: Die primäre Gruppe (mittels Zahl oder Name).
Gruppenverwaltung mit Puppet - Beispiele
• Anlegen oder Modifizieren einer Gruppe:
group {'test':
ensure => present, gid => 1515
}
• Löschen einer Gruppe:
group {'test': ensure => absent}
Copyright und Lizenz
• Copyright: Thomas Leitner thomas.leitner@univie.ac.at
• Lizenz: Creative Commons CC BY-NC-SA
„Namensnennung-Keine kommerzielle Nutzung-Weitergabe unter gleichen Bedingungen 3.0 Österreich.“ - http://creativecommons.org/licenses/by-nc-sa/3.0/at/
