Gebruikers

Uit Linuxdocs.nl
Ga naar: navigatie, zoeken

Gebruikersaccounts, groepen en het beheren ervan

Geschreven door: Michaell Bakker
Aangevuld door: Laurens Vonder
Versie: 10-09-2009
Website: www.linuxdocs.nl


Inleiding:

In deze how2 zal ik u op weg helpen met het beheren van gebruikersaccounts in Linux.

Linux is zoals u misschien wel weet een Multiuser besturingssysteem.
Een Multi-user besturingssysteem is zoals de naam al verklapt een besturingssysteem waarop meerdere gebruikers tegelijk op kunnen inloggen en werken.

In elk Multi-user systeem is er een speciale gebruiker aangewezen om het systeem te beheren. Onder Windows is dat de administrator. Onder Linux kennen wij een nog krachtiger gebruiker genaamd root.

Overige gebruikers hebben normale rechten. Ze kunnen standaard alleen schijven in hun thuis map en mappen die door root vrijgegeven worden, zodat gebruikers erin kunnen werken.
Dit systeembeheerders account is altijd in handen van de locale systeembeheerder. Via dit account is het de bedoeling alleen gebruik van te maken voor taken die een normale gebruiker niet kan. Zoals b.v: nieuwe gebruikers aanmaken of drivers installeren.

Deze zogenaamde beperkingen hebben een reden! Een van de belangrijkste redenen is dat een normale gebruiker zo onmogelijk het systeem schade aan aanbrengen. Nog een reden is dat de gebruiker zodanig beperkt kan worden tot de pc dat Linux op deze manier het zogenaamde cracken nog wel eens heel moeilijk kan maken en dat betekend weer dat het systeem aardig veilig is tegen aanvallen van gebruikers. Nog een voordeel van deze beperkingen zijn dat een normale computergebruiker niet in staat is om alles zomaar even te installeren, dit geeft weer stabiliteit aan het systeem en snelheid maar werkt ook weer voor de veiligheid van het systeem.

mogelijkheden

Als je het bovenstaande zo hebt gelezen dan kan het zijn dat je in jouw achterhoofd de gedachte hebt spelen van: "ach da's niks voor mij ik blijf gewoon altijd de systeembeheerder root".

Dit is geen goed idee! Als je namelijk iets verkeerd doet kan het hele systeem in de soep draaien.
Een voordeel van Linux tegenover Windows is hier dat programmeurs voor Linux er WEL van uitgaan dat je geen systeembeheerders rechten hebt. Dus om iets te installeren zoals een spel o.i.d. hoef je geen root rechten te hebben.
Onder Linux kun je nagenoeg alle normale zaken regelen als gebruiker.

Het risico van root zijn is dus dat hij geen enkele beperking kent. In windowsNT kan de beheerder niet 100% het systeem beheren omdat b.v. bestanden in gebruik zijn, in Linux heeft root echt 100% controle en het systeem zal deze gebruiker niet stoppen en zo kan je onder root het systeem slopen en vastlopers zijn zo het gevolg.

Een normale gebruiker kan door het systeem gestopt worden, gebruik het root account dus alleen bij het uitvoeren van taken waar dit noodzakelijk voor is, zoals het installeren van modules (drivers) of bepaalde rechten opgeven. En als dat eenmaal gedaan is verlaat de systeembeheer modes dan ook weer direct. Zo verbeterd u de veiligheid en stabiliteit van uw systeem.</p>

De normale gebruiker

De normale gebruiker die wordt standaard zo aangemaakt dat hij de volgende mogelijkheden heeft:

  1. Hij kan alleen schrijven in zijn eigen home directory /home/gebruikersnaam
  2. Hij krijgt zijn eigen mail adres gebruikersnaam@server
  3. Hij krijgt geen toegang tot home mappen van andere gebruikers
  4. Hij krijgt zijn eigen homepage http://server/~gebruikersnaam
  5. Hij krijgt beperkte geheugentoegang voor programma's
  6. Zijn account is geldig op elke service van de server (zoals FTP, Telnet enz) met deze beperkingen maar kunnen geweigerd worden als root dat instelt
  7. De gebruiker kan geen services starten tenzij deze door root vrijgegeven zijn
<p>

Ik zal er ongetwijfeld een aantal niet genoemd hebben maar dit zijn wel de belangrijkste eigenschappen.</p>

Een gebruiker aanmaken

Nu we de theorie gehad hebben gaan we eens een gebruiker aanmaken. Hiervoor moet u wel root zijn.

Mocht u nog geen root zijn omdat u een normale gebruikers account gebruikt van misschien wel de installatie dan kunt u eenvoudig root worden door het volgende commando te gebruiken:</p>

[gebruiker@linuxdocs gebruiker]$ su
password:
[root@linuxdocs gebruiker]# _

Let op dat het wachtwoord niet zichtbaar is tijdens het typen. (ook niet via sterretjes of puntjes)
We gaan nu een account maken met de naam test.
Nu kunt u een account aanmaken via de opdracht:

[root@linuxdocs gebruiker]# useradd test

Gefeliciteerd! Je hebt zojuist een correct account gemaakt, nou wie zij dat Linux moeilijk was :).
Deze gebruiker kan nu gebruik maken van de pc maar heeft nog geen wachtwoord en kan inloggen met alleen de gebruikersnaam. Dit kan handig zijn voor een snelle inlog thuis maar als u gebruik maakt van het internet is een wachtwoord geen overbodige luxe!

Om een wachtwoord te geven aan de gebruiker test geef de volgende opdracht: (indien u te zien krijgt dat de opdracht bestaat, tik dan in /usr/sbin/useradd en /usr/bin/passwd)</p>

[root@linuxdocs gebruiker]# passwd test
Changing password for user test
New password:
BAD PASSWORD: it is too short
Retype new password:
passwd: all authentication tokens updated successfully
[root@linuxdocs gebruiker]# _

Zoals ik in dit voorbeeld toon vindt Linux mijn wachtwoord niet erg verstandig (mijn wachtwoord was test) en geeft ook aan waarom, in dit geval was het te kort, maar Linux kan ook aangeven dat het gebaseerd is op een woord uit een woordenboek. Hoe dan ook Linux gaat gewoon verder want we zijn immers root. Her typ het wachtwoord en Linux geeft aan dat het wachtwoord met succes is aangemaakt en keert terug naar de shell. Mocht je het wachtwoord willen veranderen herhaal de opdracht dan gewoon even. Neem even een kijkje in de map /home en je zal zien dat er een directory met de naam test aanwezig is. Dit is de home map van deze gebruiker.

Gebruikersgroepen

Gebruikersgroepen zijn altijd handig. Zo is het mogelijk om meerdere gebruikers in een groep te zetten en dan de rechten van deze groep zo te zetten dat een bepaalde groep gebruikers bepaalde rechten heeft en de andere groep weer andere rechten heeft. Dit is met name makkelijk voor servers, zo kun je een gebruiker aanmaken als admin van een FTP server en de rest normale gebruikers zijn.

Elke gebruiker kan opgenomen worden in een groep, sterker nog dit moet zelfs. Standaard komt de gebruiker in een groep die naar zijn eigen account genoemd is, zo is de bovenstaande gebruiker test te vinden in de groep test.

Maar dit is natuurlijk te veranderen.

Om een groep aan te maken geef dan de volgende opdrachten als root:

[root@linuxdocs gebruiker]# /usr/sbin/groupadd linux

Dit maakt een groep aan genaamd linux.

Nu gaan we een gebruiker hierheen verplaatsen:

[root@linuxdocs gebruiker]# /usr/sbin/groupadd linux
[root@linuxdocs gebruiker]# /usr/sbin/userdel test #-- wist de gebruiker
[root@linuxdocs gebruiker]# /usr/sbin/useradd -g linux test
[root@linuxdocs gebruiker]# /usr/bin/passwd test
Changing password for user test
New password:
BAD PASSWORD: it is too short
Retype new password:
passwd: all authentication tokens updated successfully
[root@linuxdocs gebruiker]# _

De gebruiker test maakt nu deel uit van de gebruikersgroep linux.

Een alternatief op deze wijze is het rechtstreeks wijzigen van het bestand /etc/group. Dit is zeker handig indien een gebruiker lid moet worden van meerdere systeemgroepen, bijv. audio, video, plugdev, powerdev, usbfs, scanner.

Gebruikerslogins controleren

Ook is het mogelijk om te zien of iedereen zich wel goed gedraagt in /var/log/auth, of één van de opvolgende bestanden er van. Hierin staat precies vermeld welke gebruikersaccounts gebruikt worden voor pogingen tot overname, of in ergere situaties: dat iemand root heeft kunnen worden.

GebruikersID en groepsID wijzigen

Soms is het handig, bijvoorbeeld als meerdere mensen met meerdere pc's die verschillende media met elkaar delen elkaar lid maken van een gebruikersgroep en die gebruikersgroep en naam het zelfde gebruikersID en groepsID toekennen op alle media en dit in elke machine opslaan zodat bij het aankoppelen van verwisselbare media zoals usb sticks, externe schijven, CD's en DVD's (als deze met Rockridge extensies zijn gebrand en de juiste permissies zijn toegekend)

Het wijzigen van een ID is erg eenvoudig:

usermod -u gebruikersID -g groepsID naam_gebruikersgroep

Om vooraf te zien welke gebruikers en groepen ID iemand heeft kan dit simpel worden opgevraagd:

id gebruikersnaam

Om alle toegewezen groepen van een gebruiker te zien dient onderstaande te worden ingevoerd:

id gebruikersnaam -a

Om de nieuwe gebruikersgroep niet de mogelijkheid te geven tot inloggen maar enkel als gedeelde groep te gebruiken indien het een gedeelde map betreft voeren we onderstaande in:

usermod -s /bin/false naam_gebruikersgroep



How-TO's | Hoofdpagina | Linux Nieuws | Externe links | Help