Product SiteDocumentation Site

8.4. Benutzer- und Gruppendatenbanken

Die Liste der Benutzer ist normalerweise in der Datei /etc/passwd gespeichert, während die Datei /etc/shadow verschlüsselte Passwörter speichert. Beide sind Textdateien in einem recht einfachen Format, das mit einem Texteditor gelesen und geändert werden kann. Jeder Benutzer ist darin in einer Zeile mit mehreren durch einen Doppelpunkt („:“) getrennten Feldern aufgeführt.

HINWEIS Systemdateien editieren

Die in diesem Kapitel erwähnten Systemdateien sind alle reine Textdateien und können mit einem Texteditor editiert werden. Angesichts ihrer Bedeutung für die Funktionalität des Kernsystems empfiehlt es sich, bei ihrer Bearbeitung besondere Vorsicht walten zu lassen. Erstens sollten Sie eine Systemdatei immer kopieren oder sichern, bevor Sie sie öffnen oder verändern. Und zweitens sollten Sie auf Servern und auf Rechnern, bei denen möglicherweise zur gleichen Zeit mehr als eine Person auf dieselbe Datei zugreifen könnte, besondere Maßnahmen zum Schutz vor Dateibeschädigungen treffen.
Hierzu genügt es, den Befehl vipw zum Editieren der Datei /etc/passwd oder vigr zum Editieren der Datei /etc/group zu benutzen. Diese Befehle sperren die entsprechende Datei vor dem Start des Texteditors (standardmäßig vi, es sei denn, dass die Umgebungsvariable EDITOR verändert worden ist). Durch die Option -s ist es bei diesen Befehlen möglich, die entsprechende shadow-Datei zu editieren.

ZURÜCK ZU DEN GRUNDLAGEN Crypt, eine Einwegfunktion

crypt ist eine Einwegfunktion, die eine Zeichenkette (A) derart in eine andere Zeichenkette (B) umwandelt, dass A nicht von B abgeleitet werden kann. Der einzige Weg, A zu bestimmen, besteht darin, alle möglichen Werte auszuprobieren und jeden dahingehend zu überprüfen, ob seine Umwandlung durch diese Funktion B ergibt oder nicht. Sie verwendet als Eingabe 8 Zeichen (Zeichenkette A) und erzeugt eine Zeichenkette von 13 druckbaren ASCII-Zeichen (Zeichenkette B).

8.4.1. Benutzerliste: /etc/passwd

Hier ist die Liste der Felder in der Datei /etc/passwd:
  • login, zum Beispiel rhertzog;
  • password: dies ist ein mit einer Einwegfunktion (crypt) basierend auf DES, MD5, SHA-256 or SHA-512verschlüsseltes Passwort. Der besondere Wert „x" bedeutet, dass das verschlüsselte Passwort in der Datei /etc/shadow gespeichert ist;
  • uid: eine eindeutige Zahl zur Identifizierung jeden Benutzers;
  • gid: eine eindeutige Zahl für die Hauptgruppe des Benutzers (Debian erstellt standardmäßig für jeden Benutzer eine besondere Gruppe);
  • GECOS: Datenfeld, das gewöhnlich den vollständigen Namen des Benutzers enthält;
  • Benutzerverzeichnis, das dem Benutzer zur Speicherung seiner persönlichen Dateien zugewiesen ist (die Umgebungsvariable $HOME verweist üblicherweise hierauf);
  • bei der Anmeldung auszuführendes Programm. Dies ist gewöhnlich ein Befehlszeileninterpreter (Shell), der dem Benutzer freie Hand lässt. Falls Sie hier /bin/false angeben (das nichts tut und die Steuerung gleich wieder zurück gibt), kann sich der Benutzer nicht anmelden.

ZURÜCK ZU DEN GRUNDLAGEN Unix-Gruppen

Eine Unix-Gruppe ist eine Einheit, die mehrere Benutzer umfasst, so dass diese auf einfache Weise Dateien unter Verwendung des integrierten Berechtigungssystems gemeinsam benutzen können (wobei sie von den gleichen Berechtigungen profitieren). Man kann auch die Verwendung bestimmter Programme auf eine besondere Gruppe begrenzen.

8.4.2. Die versteckte und verschlüsselte Passwortdatei: /etc/shadow

Die Datei /etc/shadow enthält die folgenden Felder:
  • Anmeldung;
  • verschlüsseltes Passwort;
  • mehrere Felder zur Verwaltung des Verfalls der Passwörter.

DOKUMENTATION Dateiformate von /etc/passwd, /etc/shadow und /etc/group

Diese Formate sind auf den folgenden Handbuchseiten dokumentiert: passwd(5), shadow(5) und group(5).

SICHERHEIT Dateisicherheit von /etc/shadow

Im Gegensatz zu ihrem Alter Ego /etc/passwd kann die Datei /etc/shadow nicht von normalen Benutzern gelesen werden. Jedes in /etc/passwd gespeicherte verschlüsselte Passwort kann von jedem gelesen werden; ein Cracker könnte versuchen, durch eine von verschiedenen „Brute-Force-Methoden“, die einfach gesagt häufig verwendete Zeichenkombinationen raten, ein Passwort zu „knacken“ (oder aufzudecken). Diese - „Wörterbuchangriff“ genannte - Attacke ist auf Systemen, die /etc/shadow verwenden, nicht mehr möglich.

8.4.3. Ein bestehende Konto oder Passwort ändern

Mit den folgenden Befehlen ist es möglich, die in bestimmten Feldern der Benutzerdatenbanken gespeicherten Informationen zu verändern: passwd erlaubt es einem normalen Benutzer, sein Passwort zu ändern, wodurch wiederum die Datei /etc/shadow aktualisiert wird; chfn (CHange Full Name) ist für den Superuser (Root) reserviert und verändert das Feld GECOS. chsh (CHange SHell) ermöglicht es dem Benutzer, seine Anmelde-Shell zu wechseln, jedoch ist dabei die Auswahl auf diejenigen begrenzt, die in der Datei /etc/shells aufgeführt sind; dagegen ist der Administrator nicht an diese Einschränkung gebunden und kann als Shell jedes von ihm gewählte Programm einstellen.
Schließlich ermöglicht der Befehl chage (CHange AGE) es dem Administrator, die Passwort-Verfallseinstellungen zu ändern (mit der Option -l benutzer werden die aktuellen Einstellungen aufgelistet). Man kann auch den Verfall eines Passworts mit dem Befehl passwd -e benutzer erzwingen, wodurch der Benutzer bei der nächsten Anmeldung sein Passwort ändern muss.

8.4.4. Ein Konto sperren

Es kann sein, dass Sie als Disziplinarmaßnahme, zum Zweck einer Untersuchung oder einfach im Falle einer längeren oder endgültigen Abwesenheit eines Benutzers ein „Konto sperren“ (einen Benutzer ausschließen) müssen. Ein gesperrtes Konto bedeutet, dass sich der Benutzer nicht mehr anmelden und Zugang zum Rechner erhalten kann. Das Konto bleibt unversehrt auf dem Rechner, und weder Dateien noch Daten werden gelöscht; es ist einfach nur nicht mehr zugänglich. Dies wird mit dem Befehl passwd -l benutzer erreicht (zum Sperren). Die erneute Freigabe des Kontos geschieht auf ähnliche Weise mit der Option -u (zum Entsperren).

WEITERE SCHRITTE NSS und Systemdatenbanken

Anstatt die üblichen Dateien zur Verwaltung der Benutzer- und Gruppenlisten zu benutzen, könnten Sie andere Arten von Datenbanken verwenden, wie zum Beispiel LDAP oder db, indem sie ein passendes NSS-Modul (Name Service Switch) einsetzen. Die verwendeten Module werden in der Datei /etc/nsswitch.conf unter den Einträgen passwd, shadow und group aufgeführt. Siehe Abschnitt 11.7.3.1, „NSS konfigurieren“ für ein konkretes Beispiel zum Einsatz eines NSS-Moduls durch LDAP.

8.4.5. Gruppenliste: /etc/group

Gruppen sind in der Datei /etc/group aufgelistet, einer einfachen Textdatenbank in einem der Datei /etc/passwd ähnlichen Format mit folgenden Feldern:
  • Gruppenname;
  • Passwort (optional): Dies wird nur dann zum Beitritt zu einer Gruppe benutzt, wenn jemand dort normalerweise nicht Mitglied ist (mit den Befehlen newgrp oder sg, siehe Seitenleiste);
  • gid: eindeutige Gruppenidentifikationsnummer;
  • Mitgliederliste: Liste mit den Namen der Benutzer, die Mitglieder der Gruppe sind, getrennt durch Kommata.

ZURÜCK ZU DEN GRUNDLAGEN Mit mehreren Gruppen arbeiten

Jeder Benutzer kann Mitglied zahlreicher Gruppen sein; von diesen ist eine seine „Hauptgruppe“. Die Hauptgruppe eines Benutzers wird standardmäßig während der ursprünglichen Benutzerkonfigurierung erstellt. Gemäß der Voreinstellung gehört jede Datei, die ein Benutzer erstellt, ihm selbst sowie auch seiner Hauptgruppe. Dies ist nicht immer wünschenswert; wenn zum Beispiel der Benutzer in einem Verzeichnis arbeiten muss, das von einer anderen Gruppe als seiner Hauptgruppe gemeinsam genutzt wird. In diesem Fall muss der Benutzer seine Hauptgruppe mit einem der folgenden Befehle wechseln: newgrp, der eine neue Shell startet, oder sg, der einfach einen Befehl unter Verwendung der angegebenen alternativen Gruppe ausführt. Diese Befehle ermöglichen es dem Benutzer also, einer Gruppe beizutreten, der er nicht angehört. Falls die Gruppe durch ein Passwort geschützt ist, muss er das richtige Passwort angeben, bevor der Befehl ausgeführt wird.
Stattdessen kann der Benutzer das setgid-Bit auf das Verzeichnis setzen, wodurch in diesem Verzeichnis erstellte Dateien automatisch zur richtigen Gruppe gehören. Zu weiteren Einzelheiten siehe SICHERHEIT setgid-Verzeichnis und Sticky-Bit in der Seitenleiste.
Der Befehl id zeigt den aktuellen Status eines Benutzers an mit seiner persönlichen Kennung (Variable uid), der aktuellen Hauptgruppe (Variable gid) und der Liste der Gruppen, zu denen er gehört (Variable Gruppen).
Die Befehle groupadd und groupdel fügen eine Gruppe hinzu beziehungsweise löschen sie. Der Befehl groupmod ändert die Informationen über eine Gruppe (sein gid, das heißt seine Kennung). Der Befehl passwd -g gruppe ändert das Passwort der Gruppe, während der Befehl passwd -r -g gruppe es löscht.

TIPP getent

Der Befehl getent (get entries) überprüft die Systemdatenbanken auf dem normalen Weg unter Verwendung der passenden Bibliotheksfunktionen, die ihrerseits die in der Datei /etc/nsswitch.conf konfigurierten NSS-Module aufrufen. Der Befehl nimmt ein oder zwei Argumente an: den Namen der zu überprüfenden Datenbank und möglicherweise einen Suchbegriff. So zeigt der Befehl getent passwd rhertzog Informationen aus der Benutzerdatenbank über den Benutzer rhertzog an.