6.3. Red Hat Enterprise Linux-Spezifische Informationen
Die folgenden Abschnitte beschreiben die verschiedenen für Red Hat Enterprise Linux spezifischen Merkmale, welche sich auf die Administration von Benutzer-Accounts und die dazugehörigen Ressourcen beziehen.
6.3.1. Benutzer-Accounts, Gruppen und Berechtigungen
Unter Red Hat Enterprise Linux kann ein Benutzer sich im System anmelden und jede beliebige Applikation oder Datei benutzen, zu welcher dieser eine Zugriffsberechtigung besitzt, nachdem ein regulärer Benutzter-Account erstellt worden ist. Red Hat Enterprise Linux bestimmt, ob ein Benutzer oder eine Gruppe auf diese Ressourcen gemäß den entsprechenden Berechtigungen zugreifen darf oder auch nicht.
Es gibt drei verschiedene Berechtigungen für Dateien, Verzeichnisse und Applikationen. Diese Berechtigungen werden dazu benutzt, die erlaubten Arten des Zugriffs zu kontrollieren. Verschiedene Symbole, bestehend aus einem Zeichen, werden dazu benutzt, um jede einzelne Berechtigung in einem Verzeichnis aufzulisten. Die folgenden Symbole werden dabei benutzt:
r — kennzeichnet, dass Benutzer den Inhalt einer Datei anzeigen dürfen.
w — kennzeichnet, dass Benutzer den Inhalt der Datei ändern dürfen.
x — kennzeichnet, dass Benutzer Dateien ausführen dürfen, sofern dies eine ausführbare Datei oder ein Script ist.
Ein viertes Symbol (-) kennzeichnet, dass kein Zugang erlaubt ist.
Jede der drei Zugriffsberechtigungen wird drei verschiedenen Benutzer-Kategorien zugewiesen. Die Kategorien sind:
Eigentümer — Der Eigentümer der Datei oder Applikation.
Gruppe — Die Gruppe, welche die Datei oder Applikation besitzt.
Andere — Alle Benutzer mit Zugang zum System.
Wie bereits zuvor erklärt, ist es möglich die Zugriffsberechtigungen für eine Datei einzusehen, indem man eine Auflistung in langem Format mit dem Befehl ls -l aufruft. Wenn zum Beispiel der Benutzer juan eine ausführbare Datei namens fooerzeugt, so würde das Ergebnis des Befehls ls -l foo wie folgt erscheinen:
-rwxrwxr-x 1 juan juan 0 Sep 26 12:25 foo |
Die Berechtigungen für diese Datei sind am Beginn der jeweiligen Zeile, beginnend mit rwx aufgelistet. Der erste Satz von Symbolen definiert den Benutzerzugang — in diesem Beispiel hat der Benutzer juan vollen Zugang und besitzt Lese-, Schreib- und Ausführberechtigung für diese Datei. Der nächste Satz von rwx-Symbolen definiert die Gruppenzugangsberechtigung (wieder mit vollem Zugang), wobei der letzte Satz von Symbolen die Zugangsberechtigungen für alle anderen Benutzer definiert. Hierbei ist allen anderen Benutzern erlaubt, die Datei zu lesen und auszuführen, jedoch nicht diese in irgendeiner Art zu verändern.
Was dabei im Auge behalten werden sollte, ist der wichtige Punkt, dass in Bezug auf Zugangsberechtigungen und Benutzer-Accounts jede Applikation auf Red Hat Enterprise Linux in Zusammenhang mit einem spezifischen Benutzer abläuft. Im Falle, dass Benutzer juan eine Applikation startet, bedeutet dies, dass die Applikation Benutzer juans Kontext benutzt. In manchen Fällen kann es jedoch vorkommen, dass eine Applikation eine noch privilegiertere Zugansebene benötigt, um eine Aufgabe ausführen zu können. Zu dieser Art von Applikationen zählen zum Beispiel auch diejenigen, welche Systemeinstellungen bearbeiten oder Benutzer anmelden. Aus diesem Grund wurden spezielle Berechtigungen entworfen.
Hier finden Sie drei dieser speziellen Berechtigungen innerhalb von Red Hat Enterprise Linux Diese sind:
Setuid — nur für Applikationen benutzt, gibt diese Berechtigung an, dass diese Applikation als Datei-Eigentümer ausgeführt werden muss und nicht als Benutzer, der diese Applikation ausführt. Dies wird durch das Symbol s, welches anstatt x steht, gekennzeichnet. Wenn der Besitzer der Datei keine Ausführberechtigung besitzt, so wird das S großgeschrieben, um diese Tatsache zu verdeutlichen.
Setgid — hauptsächlich für Applikationen benutzt, gibt diese Berechtigung an, dass die Applikation als Gruppe ausgeführt werden muss, welche der Eigentümer der Datei ist und nicht als Gruppe des Benutzers, welcher die Applikation ausführt.
Wenn in einem Verzeichnis eingesetzt, bedeutet dies, dass alle innerhalb des Verzeichnisses erstellten Dateien der Gruppe gehören, welche das Verzeichnis besitzt und nicht der Gruppe von Benutzern, welche die Datei erstellt hat. Die Setgid-Berechtigung wird durch das Symbol s anstatt x in der Gruppenkategorie angezeigt. Wenn der Gruppen-Eigentümer der Datei oder des Verzeichnisses keine Ausführberechtigung besitzt, so wird S großgeschrieben, um dies zu verdeutlichen.
Sticky Bit — hauptsächlich auf Verzeichnissen benutzt, bestimmt dieses Bit, dass eine Datei, die in diesem Verzeichnis erstellt worden ist, lediglich vom Benutzer entfernt werden kann, welcher diese erstellt hat. Es wird durch das Symbol t anstatt x in der Andere-Kategorie angezeigt.
Unter Red Hat Enterprise Linux wird das Sticky Bit genau aus diesem Grund standardmäßig bei dem /tmp/-Verzeichnis gesetzt.
6.3.1.1. Benutzernamen und UIDs, Gruppen und GIDs
In Red Hat Enterprise Linux dienen Benutzer-Account und Gruppen-Namen hauptsächlich dem Komfort von Personen. Intern benutzt das System numerische Identifizierungszeichen. Für Benutzer ist diese Identifizierung als UID bekannt, während für Gruppen diese Identifizierung als GID bekannt ist. Programme, welche Benutzer- oder Gruppeninformationen für Benutzer verfügbar machen, übersetzen die UID/GID-Werte in visuell-lesbare Gegenstücke.
 | Wichtig |
|---|---|
UIDs und GIDs müssen weltweit einzigartig innerhalb Ihres Unternehmens sein, sollten Sie beabsichtigen Dateien und Ressourcen über ein Netzwerk gemeinsam zu benutzen. Ansonsten würden jegliche Zugangskontrollen scheitern, da diese auf UIDs und GIDs basieren und nicht auf Benutzer- und Gruppennamen. Speziell im Falle, dass sich /etc/passwd- und /etc/group-Dateien auf einem Dateiserver und auf dem Arbeitsplatz eines Benutzers in Bezug auf die UIDs oder GIDs unterscheiden, so kann die ungenaue Verwendung von Berechtigungen Sicherheitsfragen aufwerfen. Wenn zum Beispiel Benutzer juan eine UID von 500 auf einem Desktop-Computer besitzt, so werden Dateien, die juan auf einem Dateiserver erstellt, mit Benutzer UID 500 erzeugt. Wenn sich jedoch Benutzter bob lokal auf einem Dateiserver anmeldet (oder auch einem anderen Computer) und bobs Account auch eine UID von 500 besitzt, so hat bob vollen Zugang zu juans Dateien und umgekehrt. Deshalb müssen UID- und GID-Kollisionen mit allen Mitteln vermieden werden. |
Es gibt zwei Fälle, in denen der eigentliche numerische Wert der UID oder GID eine spezifische Bedeutung hat. Eine UID und GID von Null (0) werden für den root-User benutzt und werden speziell behandelt von Red Hat Enterprise Linux — jeglicher Zugang wird automatisch gewährt.
Der zweite Fall ist der, dass UIDs und GIDs unter 500 für Systembenutzung reserviert sind. Zum Unterschied von UID/GID gleich Null (0) werden UIDs und GIDs unter 500 nicht speziell behandelt. Jedoch dürfen diese UIDs/GIDs niemals einem Benutzer zugewiesen werden, da es sehr wahrscheinlich ist, dass eine Computerkomponente eine dieser Nummern benutzt oder irgendwann in der Zukunft benutzen wird. Für weitere Informationen zu diesen Standardbenutzern und -gruppen, siehe Kapitel Benutzer und Gruppen im Red Hat Enterprise Linux Referenzhandbuch.
Wenn neue Benutzer-Accounts mittels der Red Hat Enterprise Linux Standard-Tools zur Benutzer-Erstellung hinzugefügt werden, so wird dem neuen Benutzer-Account die erstmöglich erhältliche UID und GID beginnend mit 500 zugewiesen. Dem nächsten neuen Benutzer-Account wird sodann UID/GID 501 zugewiesen, gefolgt von UID/GID 502, usw..
Ein kurzer Überblick über die verschiedenen Benutzer-Erzeugungstools, welche unter Red Hat Enterprise Linux erhältlich sind, scheint später in diesem Kapitel auf. Jedoch bevor diese Tools besprochen werden, behandelt der nächste Abschnitt die Dateien, welche von Red Hat Enterprise Linux benutzt werden, um System-Accounts und -Gruppen zu definieren.
6.3.2. Dateien, die Benutzer-Accounts und -Gruppen kontrollieren
Auf Red Hat Enterprise Linux werden Informationen über Benutzer-Accounts und -Gruppen in mehreren Textdateien innerhalb des /etc/-Verzeichnisses gespeichert. Wenn ein Systemadministrator neue Benutzer-Accounts anlegt, müssen diese Dateien entweder manuell bearbeitet werden oder es müssen Applikationen benutzt werden, um die notwendigen Änderungen durchzuführen.
Der folgende Abschnitt dokumentiert die Dateien in dem /etc/-Verzeichnis, welche Benutzer- und Gruppeninformationen unter Red Hat Enterprise Linux speichern.
6.3.2.1. /etc/passwd
Die /etc/passwd-Datei besitzt eine allgemeine Leseberechtigung und beinhaltet eine Liste von Benutzern, jeweils in einer eigenen Zeile. In jeder Zeile befindet sich eine durch Doppelpunkt abgegrenzte Auflistung mit folgendem Inhalt:
Benutzername — Der Name, den der Benutzer eintippt, um sich im System anzumelden.
Passwort — Beinhaltet das verschlüsselte Passwort (oder ein x wenn Schattenpasswörter (Shadow Passwords) benutzt werden— mehr darüber später).
Benutzer-ID (UID) — der numerische Gegenwert des Benutzernamens, auf den sich das System und Applikationen beziehen, wenn Zugangsprivilegien festgestellt werden.
Gruppen-ID (GID) — der numerische Gegenwert des hauptsächlichen Gruppennamens, auf den sich das System und Applikationen beziehen, wenn Zugangsprivilegien festgestellt werden.
GECOS — Aus historischen Gründen GECOS genannt, ist das GECOS[1]-Feld optional und wird dazu benutzt zusätzliche Informationen zu speichern (wie zum Beispiel den vollen Namen des Benutzers). Mehrere Einträge können hier in einer durch Beistriche unterteilten Liste gespeichert werden. Einrichtungen wie finger greifen auf dieses Feld zu, um zusätzliche Benutzerinformation zur Verfügung zu stellen.
Heimverzeichnis — Der absolute Pfad zum Heimverzeichnis des Benutzers, wie z.B. /home/juan/.
Shell — Das Programm, das automatisch startet, wann immer sich ein Benutzer anmeldet. Dies ist normalerweise ein Befehls-Interpreter (oft auch eine shell genannt). Unter Red Hat Enterprise Linux, ist der standardmäßige Wert /bin/bash. Wenn das Feld leer gelassen wird, so wird /bin/sh benutzt. Wenn es zu einer nicht-existenten Datei gesetzt ist, kann sich der Benutzer nicht anmelden.
Hier ist ein Beispiel eines /etc/passwd-Eintrags:
root:x:0:0:root:/root:/bin/bash |
Diese Zeile zeigt auf, dass der root-Benutzer ein Shadow-Passwort besitzt sowie ebenso eine UID und GID lautend auf 0. Der root-Benutzer besitzt /root/ als Heimverzeichnis, und benutzt /bin/bash für eine Shell.
Für weitere Informationen über /etc/passwd, siehe diepasswd(5) man-Seite.
6.3.2.2. /etc/shadow
Da die /etc/passwd-Datei world-readable sein muss (der Hauptgrund dafür liegt in der Benutzung der Datei zur Übersetzung von UID auf den Benutzernamen), ist das Speichern aller Passwörter in /etc/passwd mit einem Risiko verbunden. Zugegeben, die Passwörter sind verschlüsselt. Jedoch besteht die Möglichkeit Attacken auf Passwörter zu verüben, sobald das verschlüsselte Passwort vorhanden ist.
Wenn ein Attacker ein Kopie von /etc/passwd erlangen kann, so besteht die Möglichkeit, dass insgeheim eine Attacke durchgeführt werden kann. Ohne riskieren zu müssen, bei einem tatsächlichen Anmeldeversuch mit potentiellen, von einem Passwort-Cracker generierten Passwörtern erwischt zu werden, kann ein sog. Attacker einen Passwort-Cracker, wie nachfolgend beschrieben, benutzen:
Ein Passwort-Cracker generiert potentielle Passwörter
Jedes potentielle Passwort ist sodann verschlüsselt und benutzt den selben Algorithmus wie das System
Das verschlüsselte potentielle Passwort wird sodann mit den verschlüsselten Passwörtern in /etc/passwd verglichen.
Der gefährlichste Aspekt einer solchen Attacke ist die Tatsache, dass diese auf einem System weit entfernt von Ihrem Unternehmen stattfinden kann. Daher kann der Angreifer die neueste und beste High-Performance-Hardware benutzen, die es ihm ermöglicht eine enorme Anzahl von Passwörtern in kurzer Zeit durchzugehen.
Daher kann die /etc/shadow-Datei nur vom Root-Bentuzer gelesen werden und beinhaltet das Passwort (und optionale Passwort-Aging-Information) für jeden einzelnen Benutzer. Wie in der /etc/passwd-Datei ist die Information jedes einzelnen Benutzers in einer separaten Zeile. Jede dieser Zeilen ist eine durch Doppelpunkt abgegrenzte Auflistung, welche folgende Infomationen enthält:
Benutzername — Der Name, den der Benutzer eintippt, um sich im System anzumelden. Dies erlaubt der Login-Applikation das Passwort des Benutzers abzufragen (und dazugehörige Information).
Verschlüsseltes Passwort — Das 13 bis 24 Zeichen lange Passwort. Das Passwort ist entweder verschlüsselt mittels der crypt(3)-Bibliothek-Funktion oder dem md5 Hash-Algorithmus. In diesem Feld werden andere Größen als gültig-formatierte, verschlüsselte oder 'hashed' Passwörter benutzt, um Benutzer-Logins zu kontrollieren und den Passwortstatus aufzuzeigen. Wenn zum Beispiel der Messwert ! oder *anzeigt, ist der Account gesperrt und der Benutzer darf sich nicht anmelden. Wenn der Messwert !! anzeigt, so wurde zuvor niemals ein Passwort festgelegt (und der Benutzer, der noch kein Passwort vergeben hat, ist nicht in der Lage sich anzumelden).
Datum der letzten Passwort-Änderung — Die Anzahl der Tage, die vergangen sind, (auch Epoch genannt) seitdem das Passwort zuletzt geändert worden ist. Diese Information wird in Zusammenhang mit den Passwort-Aging Feldern benutzt, welche darauf folgen.
Anzahl der Tage bevor das Passwort geändert werden kann — Die Mindestanzahl von Tagen, die vergehen müssen, bevor das Passwort geändert werden kann.
Anzahl von Tagen bevor eine Passwort-Änderung erforderlich ist — Die Anzahl der Tage, welche vergehen müssen, bevor das Passwort wieder geändert werden muss.
'Anzahl der Tage'-Warnung vor der Passwort-Änderung — Die Anzahl der Tage bevor das Passwort abläuft und währenddessen der Benutzer vor dem bevorstehenden Verfall gewarnt wird.
Anzahl der Tage bevor der Account deaktiviert wird — Die Anzahl der Tage nachdem ein Passwort abgelaufen ist und bevor der Account deaktiviert wird.
Zeitpunkt seitdem der Account deaktiviert worden ist — Der Zeitpunkt (gespeichert als Anzahl der Tage seit dem Epoch) seitdem der Benutzer-Account gesperrt worden ist.
Ein reserviertes Feld — Ein Feld das in Red Hat Enterprise Linux ignoriert wird.
Hier ist eine Beispielzeile von /etc/shadow:
juan:$1$.QKDPc5E$SWlkjRWexrXYgc98F.:12825:0:90:5:30:13096: |
Diese Zeile zeigt die folgende Information für Benutzer juan auf:
Das Passwort wurde zuletzt am 11. Februar 2005 geändert
Es gibt keinen erforderlichen Mindestzeitraum bevor das Passwort geändert werden kann
Das Passwort muss alle 90 Tage geändert werden
Der Benutzer erhält eine Warnung fünf Tage bevor das Passwort geändert werden muss
Der Account wird 30 Tage nachdem das Passwort abgelaufen ist und im Falle, dass keine Anmeldeversuche stattgefunden haben, deaktiviert werden
Der Account wird am 9. November 2005 ablaufen
Für weitere Infomationen zur /etc/shadow-Datei, siehe dieshadow(5) man-Seite.
6.3.2.3. /etc/group
Die /etc/group-Datei ist world-readable und beinhaltet eine Auflistung von Gruppen, wobei sich jede einzelne in einer eigenen Zeile befindet. Jede Zeile ist eine aus vier durch Doppelpunkte getrennte Felder bestehende Auflistung, welche die folgende Information beinhaltet:
Gruppenname — Der Name der Gruppe. Von verschiedensten Dienstprogrammen als visuell lesbarer Identifikatior für die Gruppe benutzt.
Gruppenpasswort — Wenn gesetzt, ermöglicht es Benutzern, die nicht einer Gruppe angehören, der Gruppe beizutreten, indem der Befehl newgrp benutzt wird und das hier gespeicherte Passwort eingetippt wird. Wenn sich ein kleingeschriebenes x in diesem Feld befindet, so werden Shadow-Gruppenpasswörter benutzt.
Gruppen-ID (GID) — Das numerische Äquivalent zum Gruppennamen. Es wird vom Betriebssystem und Applikationen zur Ermittlung von Zugangsprivilegien benutzt.
Mitgliederliste — Eine durch Beistriche getrennte Auflistung von Benutzern, die zu einer Gruppe gehören.
Hier ist eine Beispielzeile von /etc/group:
general:x:502:juan,shelley,bob |
Diese Zeile zeigt auf, dass die General Gruppe, die Shadow-Passwörter besitzt, eine Gruppen-ID von 502 besitzt und dass juan, shelley und bob Mitglieder dieser Gruppe sind.
Für weitere Informationen zu /etc/group, siehe diegroup(5) man-Seite.
6.3.2.4. /etc/gshadow
Die /etc/gshadow-Datei kann nur vom Root-Benutzer gelesen werden und beinhaltet ein verschlüsseltes Passwort für jede einzelne Gruppe sowie auch Gruppenmitglieder- und Adminstratorinformationen.Genau wie in der /etc/group-Datei, befindet sich die Information jeder einzelnen Gruppe in einer separaten Zeile. Jede einzelne dieser Zeilen ist eine durch Doppelpunkt getrennte Auflistung, welche folgende Informationen enthält:
Gruppenname — Der Name der Gruppe. Von verschiedensten Dienstprogrammen als visuell lesbarer Identifikatior für die Gruppe benutzt.
Verschlüsseltes Passwort — Das verschlüsselte Passwort für die Gruppe. Wenn festgesetzt, ermöglicht es Benutzern, die nicht einer bestimmtenGruppe angehören, der Gruppe beizutreten, indem der Befehl newgrp benutzt wird. Wenn der Wert des Feldes ! ist, ist es keinem Benutzer erlaubt mittels dem newgrp-Befehl auf eine Gruppe zuzugreifen. !! besitzt den selben Wert wie ! — zeigt jedoch gleichzeitig an, dass niemals zuvor ein Passwort bestimmt worden ist. Sollte der Wert null sein, so haben nur Gruppenmitglieder Zugang zur Gruppe.
Gruppenadministratoren — Hier aufgelistete Gruppenmitglieder (in einer durch Beistriche getrennten Auflistung) können Gruppenmitglieder hinzufügen oder entfernen mittels demgpasswd -Befehl.
Gruppenmitglieder — Hier aufgelistete Gruppenmitglieder (in einer durch Beistriche getrennten Auflistung) sind reguläre, nicht-administrative Mitglieder der Gruppe.
Hier ist eine Beispielzeile aus /etc/gshadow:
general:!!:shelley:juan,bob |
Diese Zeile zeigt, dass General Gruppe kein Passwort besitzt und Nicht-Mitgliedern nicht erlaubt beizutreten, indem diese den Befehl newgrp verwenden. Zusätzlich dazu ist shelley ein Gruppenadministrator und juan und bob sind reguläre, nicht-administrative Mitglieder.
Da das manuelle Bearbeiten dieser Dateien das Potential für Syntax-Fehler erhöht, wird empfohlen, dass die Applikationen, die mit Red Hat Enterprise Linux für diesen Zweck zur Verfügung gestellt werden stattdessen benutzt werden. Der nächste Abschnitt behandelt die primären Tools, die diese Aufgaben erfüllen.
6.3.3. Benutzer-Account und Gruppen-Applikationen
Dies sind zwei grundsätzliche Arten von Applikationen, welche zum Verwalten von Benutzer-Accounts und Gruppen auf Red Hat Enterprise Linux-System benutzt werden können:
Die grafische User Manager-Applikation
Eine Folge von Befehlszeilen-Tools
Für detaillierte Instruktionen zur Benutzung des User Manager, siehe das Kapitel Benutzer- und Gruppenkonfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration.
Während die User Manager-Applikation und die Befehlszeilen-Dienstprogramme beide hauptsächlich die selbe Aufgabe erfüllen, haben die Befehlszeilen-Tools den Vorteil skript-fähig zu sein und sind deshalb einfacher automatisierbar.
Die folgende Aufstellung beschreibt einige der gebräuchlicheren Befehlszeilen-Tools, die dazu benutzt werden, Benutzer-Accounts und Gruppen zu erzeugen und zu verwalten:
| Applikation | Funktion |
|---|---|
| /usr/sbin/useradd | Fügt Benutzer-Accounts hinzu. Dieses Tool wird auch dazu benutzt, primäre und sekundäre Gruppen-Mitgliedschaft zu bestimmen. |
| /usr/sbin/userdel | Löscht Benutzer-Accounts. |
| /usr/sbin/usermod | Bearbeitet Account-Attribute inklusive einiger Funktionen in Zusammenhang mit Passwort-Aging. Für eine noch 'feinkörnigere' Kontrolle, können Sie den Befehl passwd benutzen. usermod kann auch zum Festlegen von primären und sekundären Gruppenmitgliedschaften benutzt werden. |
| passwd | Setzt Passwörter. Obwohl hauptsächlich zur Änderung von Benutzer-Passwörtern benutzt, werden dadurch gleichzeitig auch alle Aspekte des Passwort-Aging kontrolliert. |
| /usr/sbin/chpasswd | Liest in einer Datei bestehend aus Benutzername und Passwortpaaren und aktualisiert jedes einzelne Benutzerpasswort ordnungsgemäß. |
| chage | Ändert die angewandten Passwort-Aging-Methoden des Benutzers. Der passwd-Befehl kann zu diesem Zweck auch benutzt werden. |
| chfn | Ändert die GECOS-Information des Benutzers. |
| chsh | Ändert die standardmäßige Shell des Benutzers. |
Tabelle 6-2. Befehlszeilen-Tools zur Benutzter-Verwaltung
Die folgende Auflistung beschreibt einige der gebräuchlicheren Befehlszeilen-Tools, die dazu verwendet werden Gruppen zu erstellen und zu verwalten:
| Applikation | Funktion |
|---|---|
| /usr/sbin/groupadd | Fügt Gruppen hinzu, jedoch ohne Zuordnung von Benutzern. Die Programme useradd und usermod sollten für die Zuordnung von Benutzern zu einer bestehenden Gruppe verwendet werden. |
| /usr/sbin/groupdel | Löscht Gruppen. |
| /usr/sbin/groupmod | Modifiziert Gruppennamen oder GIDs, ändert jedoch nicht die Gruppenmitgliedschaft. Die useradd und usermod-Programme sollten für die Zuordnung von Benutzern zu einer bestehenden Gruppe verwendet werden. |
| gpasswd | Verändert Gruppenmitgliedschaft und setzt Passwörter, um Nicht-Gruppenmitgliedern, die das Gruppenpasswort kennen, zu ermöglichen, sich der Gruppe anzuschließen. Es wird auch dazu benutzt, Gruppenadministratoren festzulegen. |
| /usr/sbin/grpck | Überprüft die Vollständigkeit von /etc/group- und /etc/gshadow-Dateien. |
Tabelle 6-3. Befehlszeilen-Tools zur Gruppen-Verwaltung
Die soweit aufgelisteten Tools bieten Systemadministratoren große Flexibilität bei der Kontrolle aller Aspekte von Benutzer-Accounts und Gruppen-Mitgliedschaft. Um mehr darüber zu erfahren, siehe die jeweilige man-Seite.
Diese Applikationen legen jedoch nicht fest, welche Ressourcen von diesen Benutzern und Gruppen kontrolliert werden. Dazu muss der Systemadministrator Applikationen zur Vergabe von Dateirechten benutzen.
6.3.3.1. Dateirechte-Applikationen
Dateirechte sind ein wesentlicher Bestandteil in der Verwaltung von Ressourcen innerhalb eines Unternehmens. Die folgende Auflistung beschreibt einige der gebräuchlicheren Befehlszeilen-Tools, die für diesen Zweck verwendet werden.
| Applikation | Funktion |
|---|---|
| chgrp | Ändert welche Gruppe eine bestehende Datei besitzt |
| chmod | Ändert Zugangsrechte für eine bestehende Datei. Es ist auch in der Lage spezielle Genehmigungen zuzuordnen. |
| chown | Verändert die Eigentümerschaft einer Datei (und kann ebenso die Gruppe ändern). |
Tabelle 6-4. Befehlszeilen-Tools zur Rechteverwaltung
Es ist auch möglich diese Attribute in der grafischen Umgebung von GNOME und KDE zu verändern. Klicken Sie mit der rechten Maustaste auf das Symbol der Datei (zum Beispiel während das Symbol in einem grafischen Dateimanager oder Desktop angezeigt wird) und wählen Sie Properties.