12 Wesentliche Systemadministration
Whoa whoa whoa whoa whoa.... Ich weiß was Sie denken. "Ich bin kein Systemadministrator! Ich will nichtmal Systemadministrator sein!"
Fakt ist, dass Sie Systemadministrator von jedem Computer sind dessen root Passwort Sie haben. Dies könnte Ihr Desktoprechner mit einem oder zwei oder ein großer Server mit vielen Hundert Benutzern sein. Unabhängig davon müssen Sie wissen wie Benutzer verwaltet werden und wie man das System sicher herunterfährt. Diese Aufgaben erscheinen einfach aber es gibt ein paar Eigenarten die Sie im Gedächtnis behalten sollten.
12.1 Benutzer und Gruppen
Wie in Kapitel 8 erwähnt sollten Sie Ihr System normalerweise nicht als root benutzen. Stattdessen sollten Sie für den täglichen Gebrauch einen normalen Benutzeraccount anlegen und den root Account nur für Systemadminstrationsaufgaben nutzen. Um einen Benutzer anzulegen könnten Sie entweder die Tools nutzen die mit Slackware ausgeliefert werden oder die Passwortdateien per Hand anpassen.
12.1.1 Mitgelieferte Skripte
Der einfachste Weg Benutzer und Gruppen zu verwalten, ist mit den mitgelieferten Skripten und Programmen. Slackware enthält die Programme adduser, userdel(8), chfn(1), chsh(1) und passwd(1) um sich um Benutzer zu kümmern. Die Befehle groupadd(8), groupdel(8) und groupmod(8) sind zum Umgehen mit Gruppen. Mit der Ausnahme von chfn, chsh und passwd können diese Programme generell nur als root ausgeführt werden und befinden sind dementsprechend in /usr/sbin. chfn, chsh und passwd können von jedem ausgeführt werden und befinden sich in /usr/bin.
Benutzer können mit dem adduser Programm hinzugefügt werden. Wir beginnen damit durch die gesamte Prozedur zu gehen, alle Fragen, die gefragt werden, zu zeigen und eine kurze Beschreibung zu liefern was alles bedeutet. Die Standardantwort ist in den Klammern und kann für fast alle Fragen gewählt werden, außer Sie wollen etwas ändern.
# adduser Login name for new user []: jellyd
Dies ist der Name den der Benutzer zum Einloggen verwenden wird. Traditionell haben Login-Namen acht oder weniger Zeichen und alle Zeichen sind Kleinbuchstaben. (Sie können auch mehr als acht Zeichen benutzen oder Zahlen einsetzen, aber vermeiden Sie dies wenn sie keinen wirklich wichtigen Grund haben.)
Sie können den Loginnamen auch als Argument auf der Befehlszeile angeben:
# adduser jellyd
In beiden Fällen wird adduser Sie nach dem Bestimmen des Loginnamens nach der Benutzer ID fragen:
User ID ('UID') [ defaults to next available ]:
Die Benutzer ID (UID) ist die Art mit der Besitzrechte in Linux festgelegt werden. Jeder Benutzer hat eine eindeutige Nummer welche in Slackware bei 1000 beginnt. Sie können eine UID für den Benutzer festlegen oder Sie könne adduser einfach die nächste freie bestimmen lassen.
Initial group [users]:
Alle Benutzer werden standardmäßig zur Gruppe users hinzugefügt. Sie könnten den neuen Benutzer in eine andere Gruppe hinzufügen, aber das ist nicht empfehlenswert, solange Sie nicht wissen was Sie tun.
Additional groups (comma separated) []:
Diese Rückfrage erlaubt Ihnen den neuen Benutzer zusätzlichen Gruppen hinzuzufügen. Es ist einem Benutzer möglich in verschiedenen Gruppen auf einmal zu sein. Das ist praktisch wenn Sie Gruppen für Dinge wie das Anpassen von Seiten einer Webseite, das Spielen von Spielen und so weiter angelegt haben. Zum beispiel definieren viele Standorte eine Gruppe wheel als die einzige Gruppe die den su Befehl nutzen kann. Oder eine Standard Slackware Installation nutzt die sys Gruppe für Benutzer denen es erlaubt ist Töne durch die eingebaute Soundkarte auszugeben.
Home directory [/home/jellyd]
Home Verzeichnisse werden standardmäßig unter /home erstellt. Wenn Sie ein sehr großes System betreiben ist es möglich, dass Sie die Home Verzeichnisse an eine andere Stelle verschoben haben (oder an mehrere Stellen). Dieser Schritt erlaubt Ihnen anzugeben wo die Home Verzeichnisse der Benutzer sein werden.
Shell [ /bin/bash ]
bash ist die Standardshell für Slackware Linux und wird für die meisten Leute das richtige sein. Wenn Ihr neuer Benutzer eine Unix-Vergangenheit hat könnte er sich mit einer anderen Shell auskennen. Sie können dessen Shell jetzt ändern oder er kann sie später selber mit dem chsh Befehl ändern.
Expiry date (YYYY-MM-DD) []:
Accounts können so eingerichtet werden, dass sie an einem bestimmten Datum auslaufen. Standardmäßig gibt es kein Ablaufdatum. Sie können das ändern, wenn Sie wollen. Dies Option könnte für ISPs interessant sein die einen Account zu einem bestimmten Datum auslaufen lassen wollen, bis Sie die Bezahlung für das nächste Jahr erhalten.
New account will be created as follows: --------------------------------------- Login name: jellyd UID: [ Next available ] Initial group: users Additional groups: [ None ] Home directory: /home/jellyd Shell: /bin/bash Expiry date: [ Never ]
Das war's... wenn Sie aussteigen wollen drücken Sie Strg+C. Andernfalls drücken Sie ENTER um fortzusetzen und diesen Account anzulegen.
Sie sehen nun die ganze Information die Sie über den neuen Account eingegeben haben und bekommen die Gelegenheit das Erzeugen des Accounts abzubrechen. Wenn Sie etwas falsch eingegeben haben sollten Sie Strg+C tippen und erneut anfangen. Andernfalls können Sie Enter drücken und der Account wird erstellt.
Creating new account... Changing the user information for jellyd Enter the new value, or press return for the default Full Name []: Jeremy Room Number []: Smith 130 Work Phone []: Home Phone []: Other []:
All diese Information ist optional. Sie müssen nichts davon eingeben wenn Sie nicht wollen und der Benutzer kann es jederzeit mit chfn ändern. Dennoch könnten Sie es hilfreich empfinden zumindest den Namen und die Telefonnummer einzutragen, für den Fall das Sie später in Kontakt mit dieser Person treten wollen.
Changing password for jellyd Enter the new password (minimum of 5, maximum of 127 characters) Please use a combination of upper and lower case letters and numbers. New password: Re-enter new password: Password changed. Account setup complete.
Sie werden ein neues Passwort für diesen neuen Benutzer eingeben müssen. Generell würden Sie, im Fall das der Benutzer zu diesem Zeitpunkt noch nicht existiert, würden Sie einfach ein Standardpasswort wählen und dem Benutzer mitteilen das er dies in etwas anderes, sichereres, ändern soll.
Beachte:
Wahl eines Passworts: Ein sicheres Passwort zu haben ist der erste Grundsatz zur Abwehr eines Einbruchs. Sie wollen kein einfach zu erratendes Passwort weil es jemandem den Einbruch in Ihr System vereinfacht. Idealerweise wäre ein sicheres Passwort eine zufällige Zeichenfolge aus Zeichen, inklusive Groß und Kleinschreibung, Zahlen und zufälligen Zeichen. (Ein Tab Zeichen könnte eine nicht so weise Wahl sein, abhängig davon von welchen Arten von Computern sie einloggen werden). Es gibt viele Softwarepakete die Zufallspasswörter für Sie erstellen können. Durchsuchen Sie das Internet nach solchen Programmen.
Generell sollten Sie Ihren Verstand gebrauchen: Verwenden Sie kein Passwort das der Geburtstag von jemandem ist, keine übliche Redensart, etwas das auf Ihrem Schreibtisch zu finden ist oder etwas das mit Ihnen in Verbindung gebracht werden könnte. Ein Passwort wie "secure1" oder jedes andere Passwort das Sie in Druck- oder Onlinemedien sehen ist auch schlecht.
Benutzer zu löschen ist nicht schwer. Führen Sie einfach userdel mit dem Namen des Accounts, den Sie löschen wollen, aus. Sie sollten sicherstellen das der Benutzer nicht eingeloggt ist und das keine Prozesse unter diesem Benutzer laufen. Denken Sie außerdem daran, dass, wenn Sie den Benutzer erst einmal gelöscht haben, alle Passwortinformationen dieses Benutzer dauerhaft verschwunden sind.
# userdel jellyd
Dieser Befehl entfernt diesen nervigen Benutzer jellyd von Ihrem System. Ein Glück, dass wir das/den los sind! :) Der Benutzer wird aus den Dateien /etc/passwd, /etc/shadow, und /etc/group entfernt, aber es wird nicht das Home-Verzeichnis gelöscht.
Wenn Sie auch das Home-Verzeichnis entfernen wollten, hätten Sie diesen Befehl stattdessen verwendet:
# userdel -r jellyd
Temporäres Deaktivieren von Accounts wird im folgenden Abschnitt zu Passwörtern behandelt weil eine temporäre Änderung das Ändern des Benutzerpassworts einschließt. Das Ändern anderer Account-informationen wird in Abschnitt 12.1.3 behandelt.
Die Programme zum Hinzufügen und Entfernen von Gruppen sind sehr einfach. groupadd fügt einfach einen weiteren Eintrag zur Datei /etc/group mit einer eindeutigen Gruppen ID hinzu, während groupdel die angegebene Gruppe entfernt. Es ist Ihnen überlassen die Datei /etc/group zu editieren um Benutzer zu einer bestimmten Gruppe hinzuzufügen. Um zum Beispiel eine Gruppe mit dem Namen cvs hinzuzufügen:
# groupadd cvs
Und um sie zu entfernen:
# groupdel cvs
12.1.2 Passwörter ändern
Das passwd Programm ändert Passwörter durch Verändern der Datei /etc/shadow. Diese Datei enthält alle Passwörter des Systems in verschlüsseltem Format. Um Ihr eigenes Passwort zu ändern würden Sie folgendes tippen:
% passwd Changing password for chris Old password: Enter the new password (minumum of 5, maximum of 127 characters) Please use a combination of upper and lower case letters and numbers. New password:
Wie Sie sehen können werden Sie aufgefordert Ihr altes Passwort einzugeben. Es wird nicht auf dem Bildschirm angezeigt wenn Sie es eintippen, genau so wie wenn Sie sich einloggen. Dann werden Sie aufgefordert ein neues Passwort einzugen. passwd wird einige Tests mit Ihrem neuen Passwort durchführen und wird sich beschweren wenn Ihr neues Passwort seine Tests nicht besteht. Sie können die Warnungen ignorieren, wenn Sie wollen. Sie werden aufgefordert das neue Passwort einzweites Mal zur Bestätigung einzugeben.
Wenn Sie root sind können Sie auch das Passwort eines anderen Benutzers ändern:
# passwd ted
Sie müssen dann durch die gleiche Prozedur die oben beschrieben wurde außer das Sie nicht das alte Passwort des Benutzers eingeben müssen. (Einer der Vielen Vorzüge wenn man root ist...)
Wenn erforderlich können Sie auch einen Account temporär deaktivieren und, wenn erforderlich, zu einer späteren Zeit wieder aktivieren. Beides, deaktivieren und wieder aktivieren eines Accounts, kann mit passwd gemacht werden. Um einen Account zu deaktivieren tun sie folgende als root:
# passwd -l david
Dies ändert das Passwort von david zu etwas das niemals irgendeinem verschlüsselten Wert entsprechen kann. Sie würden den Accound wie folgt wieder aktivieren:
# passwd -u david
Nun ist david's account wieder im Normalzustand. Deaktivieren von Accounts kann praktisch sein wenn sich Benutzer nicht an die Regeln hält die Sie auf Ihrem System aufgesetzt haben oder wenn Sie eine sehr große Kopie von xeyes(1) auf Ihren X Desktop exportiert haben.
12.1.3 Benutzer-Information ändern
Es gibt zwei Informationsteile die Benutzer jederzeit ändern können: Ihre Shell und ihre finger Information. Slackware Linux nutzt chsh (change shell) und chfn (change finger) um diese Werte zu ändern.
Ein Benutzer kann jede Shell auswählen die in der Datei /etc/shells gelistet ist. Für die meisten Benutzer ist /bin/bash die beste Wahl. Andere könnten sich mit einer Shell besser auskennen die sie auf ihrem System an der Arbeit oder an der Schule vorgefunden haben und wollen das nutzen was sie bereits kennen. Um Ihre Shell zu ändern nutzen Sie chsh:
% chsh Password: Changing the login shell for chris Enter the new value, or press return for the default Login Shell [/bin/bash]:
Nach der Eingabe Ihres Passworts geben Sie den vollen Pfad zur neuen Shell ein. Stellen Sie vorher sicher, dass er in der /etc/shells(5) Datei gelistet ist. Der root Benutzer kann auch die Shell jedes Benutzers durch Starten von chsh, mit dem Benutzernamen als Argument, ändern.
Die finger Information ist optionale Information wie Ihr voller Name, Telefonnummer und Raumnummer. Diese können mit Hilfe von chfn geändert werden und erfolgt in der selben Prozedur die Sie bereits beim Anlegen des Accounts durchlaufen haben. Wie üblich kann root die finger Information von jedem verändern.
