Die Benutzer- und Gruppenverwaltung ist fundamental für die Linux-Administration. Sie regelt, wer was auf dem System darf.
Grundkonzept
Linux unterscheidet zwischen:
- Benutzern (Users): Einzelne Konten
- Gruppen (Groups): Zusammenfassung von Benutzern
Jeder Benutzer hat:
- Eine User-ID (UID)
- Eine primäre Gruppe
- Optional weitere Gruppen
Benutzer anzeigen
Aktuellen Benutzer
whoami
idAlle Benutzer
cat /etc/passwdFormat: benutzername:x:UID:GID:Kommentar:Home:Shell
Nur Benutzernamen
cut -d: -f1 /etc/passwdBenutzer mit Login-Shell
grep -v '/nologin\|/false' /etc/passwdBenutzer erstellen
useradd
useradd maxMit Home-Verzeichnis
useradd -m maxMit allen Optionen
useradd -m -s /bin/bash -c "Max Mustermann" -G sudo,www-data max| Option | Beschreibung |
|---|---|
-m | Home-Verzeichnis erstellen |
-s | Shell festlegen |
-c | Kommentar/Vollständiger Name |
-G | Zusätzliche Gruppen |
-g | Primäre Gruppe |
-d | Home-Verzeichnis Pfad |
-e | Ablaufdatum (YYYY-MM-DD) |
adduser (Debian/Ubuntu)
Interaktiver und benutzerfreundlicher:
adduser maxFragt automatisch nach Passwort und Details.
Passwort setzen
Für anderen Benutzer
passwd maxEigenes Passwort
passwdPasswort-Ablauf setzen
# Ablauf nach 90 Tagen
chage -M 90 max
# Passwort-Info anzeigen
chage -l maxBenutzer ändern
Shell ändern
usermod -s /bin/zsh maxZu Gruppen hinzufügen
# Zusätzliche Gruppen (bestehende bleiben)
usermod -aG sudo max
usermod -aG docker maxWichtig: -a nicht vergessen, sonst werden bestehende Gruppen überschrieben!
Home-Verzeichnis ändern
usermod -d /home/neues-home -m maxBenutzer umbenennen
usermod -l neuer_name alter_nameBenutzer deaktivieren
# Shell auf nologin setzen
usermod -s /usr/sbin/nologin max
# Konto sperren
usermod -L max
# Konto entsperren
usermod -U maxBenutzer löschen
Nur Benutzer
userdel maxMit Home-Verzeichnis
userdel -r maxMit Debian/Ubuntu
deluser max
deluser --remove-home maxGruppen verwalten
Gruppen anzeigen
# Alle Gruppen
cat /etc/group
# Gruppen eines Benutzers
groups max
id maxGruppe erstellen
groupadd entwicklerMit GID
groupadd -g 1500 entwicklerGruppe löschen
groupdel entwicklerBenutzer zu Gruppe hinzufügen
# Methode 1: usermod
usermod -aG entwickler max
# Methode 2: gpasswd
gpasswd -a max entwicklerBenutzer aus Gruppe entfernen
gpasswd -d max entwicklerWichtige Systemdateien
/etc/passwd
Benutzerinformationen:
max:x:1001:1001:Max Mustermann:/home/max:/bin/bash| Feld | Bedeutung |
|---|---|
| 1 | Benutzername |
| 2 | x (Passwort in /etc/shadow) |
| 3 | UID |
| 4 | GID (primäre Gruppe) |
| 5 | Kommentar (GECOS) |
| 6 | Home-Verzeichnis |
| 7 | Shell |
/etc/shadow
Passwörter (gehashed):
max:$6$...:19000:0:99999:7:::/etc/group
Gruppeninformationen:
entwickler:x:1500:max,annaSystem-Benutzer
Dienste laufen oft unter eigenen Benutzern ohne Login:
# System-Benutzer erstellen
useradd -r -s /usr/sbin/nologin meindienst| Option | Beschreibung |
|---|---|
-r | System-Benutzer (UID < 1000) |
-s /usr/sbin/nologin | Kein Login möglich |
Sudo-Rechte verwalten
Benutzer zur sudo-Gruppe
usermod -aG sudo max # Debian/Ubuntu
usermod -aG wheel max # CentOS/RHELIndividuelle sudo-Rechte
visudo# Volle Rechte
max ALL=(ALL:ALL) ALL
# Nur bestimmte Befehle
max ALL=(ALL) /usr/bin/apt, /usr/bin/systemctl
# Ohne Passwort (Vorsicht!)
max ALL=(ALL) NOPASSWD: ALLPraktische Beispiele
Web-Entwickler einrichten
# Benutzer erstellen
useradd -m -s /bin/bash -c "Web Developer" webdev
# Passwort setzen
passwd webdev
# Zu www-data Gruppe hinzufügen
usermod -aG www-data webdev
# SSH-Key einrichten
mkdir -p /home/webdev/.ssh
chmod 700 /home/webdev/.ssh
touch /home/webdev/.ssh/authorized_keys
chmod 600 /home/webdev/.ssh/authorized_keys
chown -R webdev:webdev /home/webdev/.sshSFTP-Only-Benutzer
# Benutzer erstellen
useradd -m -s /usr/sbin/nologin sftpuser
passwd sftpuser
# Gruppe
groupadd sftponly
usermod -aG sftponly sftpuser
# SSH-Konfiguration anpassen
# In /etc/ssh/sshd_config:
Match Group sftponly
ChrootDirectory /home/%u
ForceCommand internal-sftp
AllowTcpForwarding noShared-Verzeichnis für Gruppe
# Gruppe erstellen
groupadd projekt
# Benutzer hinzufügen
usermod -aG projekt max
usermod -aG projekt anna
# Verzeichnis erstellen
mkdir /srv/projekt
chown root:projekt /srv/projekt
chmod 2775 /srv/projektDas Setgid-Bit (2) sorgt dafür, dass neue Dateien automatisch der Gruppe gehören.
ACLs (Access Control Lists)
Für feinere Berechtigungen:
# ACL setzen
setfacl -m u:max:rwx /srv/projekt
# ACL anzeigen
getfacl /srv/projekt
# ACL entfernen
setfacl -x u:max /srv/projektBenutzer-Limits
/etc/security/limits.conf
# Max. offene Dateien
max hard nofile 65535
# Max. Prozesse
max hard nproc 4096Befehls-Übersicht
| Aufgabe | Befehl |
|---|---|
| Benutzer erstellen | useradd -m username |
| Passwort setzen | passwd username |
| Benutzer ändern | usermod [Optionen] username |
| Benutzer löschen | userdel -r username |
| Gruppe erstellen | groupadd groupname |
| Zur Gruppe hinzufügen | usermod -aG groupname username |
| Gruppen anzeigen | groups username |
| Benutzer-Info | id username |
Fazit
Die Benutzer- und Gruppenverwaltung ist essenziell für Sicherheit und Organisation. Verwenden Sie immer usermod -aG für Gruppen (nicht -G ohne -a), und erstellen Sie für Dienste eigene System-Benutzer ohne Login-Shell.
