6.3. Red Hat Enterprise Linux-Spezifische Informationen
Die folgenden Abschnitte beschreiben die verschiedenen f�r Red Hat Enterprise Linux spezifischen Merkmale, welche sich auf die Administration von Benutzer-Accounts und die dazugeh�rigen Ressourcen beziehen.
6.3.1. Benutzer-Accounts, Gruppen und Berechtigungen
Unter Red Hat Enterprise Linux kann ein Benutzer sich im System anmelden und jede beliebige Applikation oder Datei benutzen, zu welcher dieser eine Zugriffsberechtigung besitzt, nachdem ein regul�rer Benutzter-Account erstellt worden ist. Red Hat Enterprise Linux bestimmt, ob ein Benutzer oder eine Gruppe auf diese Ressourcen gem�� den entsprechenden Berechtigungen zugreifen darf oder auch nicht.
Es gibt drei verschiedene Berechtigungen f�r Dateien, Verzeichnisse und Applikationen. Diese Berechtigungen werden dazu benutzt, die erlaubten Arten des Zugriffs zu kontrollieren. Verschiedene Symbole, bestehend aus einem Zeichen, werden dazu benutzt, um jede einzelne Berechtigung in einem Verzeichnis aufzulisten. Die folgenden Symbole werden dabei benutzt:
r — kennzeichnet, dass Benutzer den Inhalt einer Datei anzeigen d�rfen.
w — kennzeichnet, dass Benutzer den Inhalt der Datei �ndern d�rfen.
x — kennzeichnet, dass Benutzer Dateien ausf�hren d�rfen, sofern dies eine ausf�hrbare Datei oder ein Script ist.
Ein viertes Symbol (-) kennzeichnet, dass kein Zugang erlaubt ist.
Jede der drei Zugriffsberechtigungen wird drei verschiedenen Benutzer-Kategorien zugewiesen. Die Kategorien sind:
Eigent�mer — Der Eigent�mer der Datei oder Applikation.
Gruppe — Die Gruppe, welche die Datei oder Applikation besitzt.
Andere — Alle Benutzer mit Zugang zum System.
Wie bereits zuvor erkl�rt, ist es m�glich die Zugriffsberechtigungen f�r eine Datei einzusehen, indem man eine Auflistung in langem Format mit dem Befehl ls -l aufruft. Wenn zum Beispiel der Benutzer juan eine ausf�hrbare Datei namens fooerzeugt, so w�rde das Ergebnis des Befehls ls -l foo wie folgt erscheinen:
-rwxrwxr-x 1 juan juan 0 Sep 26 12:25 foo
Die Berechtigungen f�r diese Datei sind am Beginn der jeweiligen Zeile, beginnend mit rwx aufgelistet. Der erste Satz von Symbolen definiert den Benutzerzugang — in diesem Beispiel hat der Benutzer juan vollen Zugang und besitzt Lese-, Schreib- und Ausf�hrberechtigung f�r diese Datei. Der n�chste Satz von rwx-Symbolen definiert die Gruppenzugangsberechtigung (wieder mit vollem Zugang), wobei der letzte Satz von Symbolen die Zugangsberechtigungen f�r alle anderen Benutzer definiert. Hierbei ist allen anderen Benutzern erlaubt, die Datei zu lesen und auszuf�hren, jedoch nicht diese in irgendeiner Art zu ver�ndern.
Was dabei im Auge behalten werden sollte, ist der wichtige Punkt, dass in Bezug auf Zugangsberechtigungen und Benutzer-Accounts jede Applikation auf Red Hat Enterprise Linux in Zusammenhang mit einem spezifischen Benutzer abl�uft. Im Falle, dass Benutzer juan eine Applikation startet, bedeutet dies, dass die Applikation Benutzer juans Kontext benutzt. In manchen F�llen kann es jedoch vorkommen, dass eine Applikation eine noch privilegiertere Zugansebene ben�tigt, um eine Aufgabe ausf�hren zu k�nnen. Zu dieser Art von Applikationen z�hlen zum Beispiel auch diejenigen, welche Systemeinstellungen bearbeiten oder Benutzer anmelden. Aus diesem Grund wurden spezielle Berechtigungen entworfen.
Hier finden Sie drei dieser speziellen Berechtigungen innerhalb von Red Hat Enterprise Linux Diese sind:
Setuid — nur f�r Applikationen benutzt, gibt diese Berechtigung an, dass diese Applikation als Datei-Eigent�mer ausgef�hrt werden muss und nicht als Benutzer, der diese Applikation ausf�hrt. Dies wird durch das Symbol s, welches anstatt x steht, gekennzeichnet. Wenn der Besitzer der Datei keine Ausf�hrberechtigung besitzt, so wird das S gro�geschrieben, um diese Tatsache zu verdeutlichen.
Setgid — haupts�chlich f�r Applikationen benutzt, gibt diese Berechtigung an, dass die Applikation als Gruppe ausgef�hrt werden muss, welche der Eigent�mer der Datei ist und nicht als Gruppe des Benutzers, welcher die Applikation ausf�hrt.
Wenn in einem Verzeichnis eingesetzt, bedeutet dies, dass alle innerhalb des Verzeichnisses erstellten Dateien der Gruppe geh�ren, welche das Verzeichnis besitzt und nicht der Gruppe von Benutzern, welche die Datei erstellt hat. Die Setgid-Berechtigung wird durch das Symbol s anstatt x in der Gruppenkategorie angezeigt. Wenn der Gruppen-Eigent�mer der Datei oder des Verzeichnisses keine Ausf�hrberechtigung besitzt, so wird S gro�geschrieben, um dies zu verdeutlichen.
Sticky Bit — haupts�chlich auf Verzeichnissen benutzt, bestimmt dieses Bit, dass eine Datei, die in diesem Verzeichnis erstellt worden ist, lediglich vom Benutzer entfernt werden kann, welcher diese erstellt hat. Es wird durch das Symbol t anstatt x in der Andere-Kategorie angezeigt.
Unter Red Hat Enterprise Linux wird das Sticky Bit genau aus diesem Grund standardm��ig bei dem /tmp/-Verzeichnis gesetzt.
6.3.1.1. Benutzernamen und UIDs, Gruppen und GIDs
In Red Hat Enterprise Linux dienen Benutzer-Account und Gruppen-Namen haupts�chlich dem Komfort von Personen. Intern benutzt das System numerische Identifizierungszeichen. F�r Benutzer ist diese Identifizierung als UID bekannt, w�hrend f�r Gruppen diese Identifizierung als GID bekannt ist. Programme, welche Benutzer- oder Gruppeninformationen f�r Benutzer verf�gbar machen, �bersetzen die UID/GID-Werte in visuell-lesbare Gegenst�cke.
Wichtig
UIDs und GIDs m�ssen weltweit einzigartig innerhalb Ihres Unternehmens sein, sollten Sie beabsichtigen Dateien und Ressourcen �ber ein Netzwerk gemeinsam zu benutzen. Ansonsten w�rden jegliche Zugangskontrollen scheitern, da diese auf UIDs und GIDs basieren und nicht auf Benutzer- und Gruppennamen.
Speziell im Falle, dass sich /etc/passwd- und /etc/group-Dateien auf einem Dateiserver und auf dem Arbeitsplatz eines Benutzers in Bezug auf die UIDs oder GIDs unterscheiden, so kann die ungenaue Verwendung von Berechtigungen Sicherheitsfragen aufwerfen.
Wenn zum Beispiel Benutzer juan eine UID von 500 auf einem Desktop-Computer besitzt, so werden Dateien, die juan auf einem Dateiserver erstellt, mit Benutzer UID 500 erzeugt. Wenn sich jedoch Benutzter bob lokal auf einem Dateiserver anmeldet (oder auch einem anderen Computer) und bobs Account auch eine UID von 500 besitzt, so hat bob vollen Zugang zu juans Dateien und umgekehrt.
Deshalb m�ssen UID- und GID-Kollisionen mit allen Mitteln vermieden werden.
Es gibt zwei F�lle, in denen der eigentliche numerische Wert der UID oder GID eine spezifische Bedeutung hat. Eine UID und GID von Null (0) werden f�r den root-User benutzt und werden speziell behandelt von Red Hat Enterprise Linux — jeglicher Zugang wird automatisch gew�hrt.
Der zweite Fall ist der, dass UIDs und GIDs unter 500 f�r Systembenutzung reserviert sind. Zum Unterschied von UID/GID gleich Null (0) werden UIDs und GIDs unter 500 nicht speziell behandelt. Jedoch d�rfen diese UIDs/GIDs niemals einem Benutzer zugewiesen werden, da es sehr wahrscheinlich ist, dass eine Computerkomponente eine dieser Nummern benutzt oder irgendwann in der Zukunft benutzen wird. F�r weitere Informationen zu diesen Standardbenutzern und -gruppen, siehe Kapitel Benutzer und Gruppen im Red Hat Enterprise Linux Referenzhandbuch.
Wenn neue Benutzer-Accounts mittels der Red Hat Enterprise Linux Standard-Tools zur Benutzer-Erstellung hinzugef�gt werden, so wird dem neuen Benutzer-Account die erstm�glich erh�ltliche UID und GID beginnend mit 500 zugewiesen. Dem n�chsten neuen Benutzer-Account wird sodann UID/GID 501 zugewiesen, gefolgt von UID/GID 502, usw..
Ein kurzer �berblick �ber die verschiedenen Benutzer-Erzeugungstools, welche unter Red Hat Enterprise Linux erh�ltlich sind, scheint sp�ter in diesem Kapitel auf. Jedoch bevor diese Tools besprochen werden, behandelt der n�chste Abschnitt die Dateien, welche von Red Hat Enterprise Linux benutzt werden, um System-Accounts und -Gruppen zu definieren.
6.3.2. Dateien, die Benutzer-Accounts und -Gruppen kontrollieren
Auf Red Hat Enterprise Linux werden Informationen �ber Benutzer-Accounts und -Gruppen in mehreren Textdateien innerhalb des /etc/-Verzeichnisses gespeichert. Wenn ein Systemadministrator neue Benutzer-Accounts anlegt, m�ssen diese Dateien entweder manuell bearbeitet werden oder es m�ssen Applikationen benutzt werden, um die notwendigen �nderungen durchzuf�hren.
Der folgende Abschnitt dokumentiert die Dateien in dem /etc/-Verzeichnis, welche Benutzer- und Gruppeninformationen unter Red Hat Enterprise Linux speichern.
6.3.2.1. /etc/passwd
Die /etc/passwd-Datei besitzt eine allgemeine Leseberechtigung und beinhaltet eine Liste von Benutzern, jeweils in einer eigenen Zeile. In jeder Zeile befindet sich eine durch Doppelpunkt abgegrenzte Auflistung mit folgendem Inhalt:
Benutzername — Der Name, den der Benutzer eintippt, um sich im System anzumelden.
Passwort — Beinhaltet das verschl�sselte Passwort (oder ein x wenn Schattenpassw�rter (Shadow Passwords) benutzt werden— mehr dar�ber sp�ter).
Benutzer-ID (UID) — der numerische Gegenwert des Benutzernamens, auf den sich das System und Applikationen beziehen, wenn Zugangsprivilegien festgestellt werden.
Gruppen-ID (GID) — der numerische Gegenwert des haupts�chlichen Gruppennamens, auf den sich das System und Applikationen beziehen, wenn Zugangsprivilegien festgestellt werden.
GECOS — Aus historischen Gr�nden GECOS genannt, ist das GECOS[1]-Feld optional und wird dazu benutzt zus�tzliche Informationen zu speichern (wie zum Beispiel den vollen Namen des Benutzers). Mehrere Eintr�ge k�nnen hier in einer durch Beistriche unterteilten Liste gespeichert werden. Einrichtungen wie finger greifen auf dieses Feld zu, um zus�tzliche Benutzerinformation zur Verf�gung zu stellen.
Heimverzeichnis — Der absolute Pfad zum Heimverzeichnis des Benutzers, wie z.B. /home/juan/.
Shell — Das Programm, das automatisch startet, wann immer sich ein Benutzer anmeldet. Dies ist normalerweise ein Befehls-Interpreter (oft auch eine shell genannt). Unter Red Hat Enterprise Linux, ist der standardm��ige Wert /bin/bash. Wenn das Feld leer gelassen wird, so wird /bin/sh benutzt. Wenn es zu einer nicht-existenten Datei gesetzt ist, kann sich der Benutzer nicht anmelden.
Hier ist ein Beispiel eines /etc/passwd-Eintrags:
root:x:0:0:root:/root:/bin/bash
Diese Zeile zeigt auf, dass der root-Benutzer ein Shadow-Passwort besitzt sowie ebenso eine UID und GID lautend auf 0. Der root-Benutzer besitzt /root/ als Heimverzeichnis, und benutzt /bin/bash f�r eine Shell.
F�r weitere Informationen �ber /etc/passwd, siehe diepasswd(5) man-Seite.
6.3.2.2. /etc/shadow
Da die /etc/passwd-Datei world-readable sein muss (der Hauptgrund daf�r liegt in der Benutzung der Datei zur �bersetzung von UID auf den Benutzernamen), ist das Speichern aller Passw�rter in /etc/passwd mit einem Risiko verbunden. Zugegeben, die Passw�rter sind verschl�sselt. Jedoch besteht die M�glichkeit Attacken auf Passw�rter zu ver�ben, sobald das verschl�sselte Passwort vorhanden ist.
Wenn ein Attacker ein Kopie von /etc/passwd erlangen kann, so besteht die M�glichkeit, dass insgeheim eine Attacke durchgef�hrt werden kann. Ohne riskieren zu m�ssen, bei einem tats�chlichen Anmeldeversuch mit potentiellen, von einem Passwort-Cracker generierten Passw�rtern erwischt zu werden, kann ein sog. Attacker einen Passwort-Cracker, wie nachfolgend beschrieben, benutzen:
Ein Passwort-Cracker generiert potentielle Passw�rter
Jedes potentielle Passwort ist sodann verschl�sselt und benutzt den selben Algorithmus wie das System
Das verschl�sselte potentielle Passwort wird sodann mit den verschl�sselten Passw�rtern in /etc/passwd verglichen.
Der gef�hrlichste Aspekt einer solchen Attacke ist die Tatsache, dass diese auf einem System weit entfernt von Ihrem Unternehmen stattfinden kann. Daher kann der Angreifer die neueste und beste High-Performance-Hardware benutzen, die es ihm erm�glicht eine enorme Anzahl von Passw�rtern in kurzer Zeit durchzugehen.
Daher kann die /etc/shadow-Datei nur vom Root-Bentuzer gelesen werden und beinhaltet das Passwort (und optionale Passwort-Aging-Information) f�r jeden einzelnen Benutzer. Wie in der /etc/passwd-Datei ist die Information jedes einzelnen Benutzers in einer separaten Zeile. Jede dieser Zeilen ist eine durch Doppelpunkt abgegrenzte Auflistung, welche folgende Infomationen enth�lt:
Benutzername — Der Name, den der Benutzer eintippt, um sich im System anzumelden. Dies erlaubt der Login-Applikation das Passwort des Benutzers abzufragen (und dazugeh�rige Information).
Verschl�sseltes Passwort — Das 13 bis 24 Zeichen lange Passwort. Das Passwort ist entweder verschl�sselt mittels der crypt(3)-Bibliothek-Funktion oder dem md5 Hash-Algorithmus. In diesem Feld werden andere Gr��en als g�ltig-formatierte, verschl�sselte oder 'hashed' Passw�rter benutzt, um Benutzer-Logins zu kontrollieren und den Passwortstatus aufzuzeigen. Wenn zum Beispiel der Messwert ! oder *anzeigt, ist der Account gesperrt und der Benutzer darf sich nicht anmelden. Wenn der Messwert !! anzeigt, so wurde zuvor niemals ein Passwort festgelegt (und der Benutzer, der noch kein Passwort vergeben hat, ist nicht in der Lage sich anzumelden).
Datum der letzten Passwort-�nderung — Die Anzahl der Tage, die vergangen sind, (auch Epoch genannt) seitdem das Passwort zuletzt ge�ndert worden ist. Diese Information wird in Zusammenhang mit den Passwort-Aging Feldern benutzt, welche darauf folgen.
Anzahl der Tage bevor das Passwort ge�ndert werden kann — Die Mindestanzahl von Tagen, die vergehen m�ssen, bevor das Passwort ge�ndert werden kann.
Anzahl von Tagen bevor eine Passwort-�nderung erforderlich ist — Die Anzahl der Tage, welche vergehen m�ssen, bevor das Passwort wieder ge�ndert werden muss.
'Anzahl der Tage'-Warnung vor der Passwort-�nderung — Die Anzahl der Tage bevor das Passwort abl�uft und w�hrenddessen der Benutzer vor dem bevorstehenden Verfall gewarnt wird.
Anzahl der Tage bevor der Account deaktiviert wird — Die Anzahl der Tage nachdem ein Passwort abgelaufen ist und bevor der Account deaktiviert wird.
Zeitpunkt seitdem der Account deaktiviert worden ist — Der Zeitpunkt (gespeichert als Anzahl der Tage seit dem Epoch) seitdem der Benutzer-Account gesperrt worden ist.
Ein reserviertes Feld — Ein Feld das in Red Hat Enterprise Linux ignoriert wird.
Diese Zeile zeigt die folgende Information f�r Benutzer juan auf:
Das Passwort wurde zuletzt am 11. Februar 2005 ge�ndert
Es gibt keinen erforderlichen Mindestzeitraum bevor das Passwort ge�ndert werden kann
Das Passwort muss alle 90 Tage ge�ndert werden
Der Benutzer erh�lt eine Warnung f�nf Tage bevor das Passwort ge�ndert werden muss
Der Account wird 30 Tage nachdem das Passwort abgelaufen ist und im Falle, dass keine Anmeldeversuche stattgefunden haben, deaktiviert werden
Der Account wird am 9. November 2005 ablaufen
F�r weitere Infomationen zur /etc/shadow-Datei, siehe dieshadow(5) man-Seite.
6.3.2.3. /etc/group
Die /etc/group-Datei ist world-readable und beinhaltet eine Auflistung von Gruppen, wobei sich jede einzelne in einer eigenen Zeile befindet. Jede Zeile ist eine aus vier durch Doppelpunkte getrennte Felder bestehende Auflistung, welche die folgende Information beinhaltet:
Gruppenname — Der Name der Gruppe. Von verschiedensten Dienstprogrammen als visuell lesbarer Identifikatior f�r die Gruppe benutzt.
Gruppenpasswort — Wenn gesetzt, erm�glicht es Benutzern, die nicht einer Gruppe angeh�ren, der Gruppe beizutreten, indem der Befehl newgrp benutzt wird und das hier gespeicherte Passwort eingetippt wird. Wenn sich ein kleingeschriebenes x in diesem Feld befindet, so werden Shadow-Gruppenpassw�rter benutzt.
Gruppen-ID (GID) — Das numerische �quivalent zum Gruppennamen. Es wird vom Betriebssystem und Applikationen zur Ermittlung von Zugangsprivilegien benutzt.
Mitgliederliste — Eine durch Beistriche getrennte Auflistung von Benutzern, die zu einer Gruppe geh�ren.
Hier ist eine Beispielzeile von /etc/group:
general:x:502:juan,shelley,bob
Diese Zeile zeigt auf, dass die General Gruppe, die Shadow-Passw�rter besitzt, eine Gruppen-ID von 502 besitzt und dass juan, shelley und bob Mitglieder dieser Gruppe sind.
F�r weitere Informationen zu /etc/group, siehe diegroup(5) man-Seite.
6.3.2.4. /etc/gshadow
Die /etc/gshadow-Datei kann nur vom Root-Benutzer gelesen werden und beinhaltet ein verschl�sseltes Passwort f�r jede einzelne Gruppe sowie auch Gruppenmitglieder- und Adminstratorinformationen.Genau wie in der /etc/group-Datei, befindet sich die Information jeder einzelnen Gruppe in einer separaten Zeile. Jede einzelne dieser Zeilen ist eine durch Doppelpunkt getrennte Auflistung, welche folgende Informationen enth�lt:
Gruppenname — Der Name der Gruppe. Von verschiedensten Dienstprogrammen als visuell lesbarer Identifikatior f�r die Gruppe benutzt.
Verschl�sseltes Passwort — Das verschl�sselte Passwort f�r die Gruppe. Wenn festgesetzt, erm�glicht es Benutzern, die nicht einer bestimmtenGruppe angeh�ren, der Gruppe beizutreten, indem der Befehl newgrp benutzt wird. Wenn der Wert des Feldes ! ist, ist es keinem Benutzer erlaubt mittels dem newgrp-Befehl auf eine Gruppe zuzugreifen. !! besitzt den selben Wert wie ! — zeigt jedoch gleichzeitig an, dass niemals zuvor ein Passwort bestimmt worden ist. Sollte der Wert null sein, so haben nur Gruppenmitglieder Zugang zur Gruppe.
Gruppenadministratoren — Hier aufgelistete Gruppenmitglieder (in einer durch Beistriche getrennten Auflistung) k�nnen Gruppenmitglieder hinzuf�gen oder entfernen mittels demgpasswd -Befehl.
Gruppenmitglieder — Hier aufgelistete Gruppenmitglieder (in einer durch Beistriche getrennten Auflistung) sind regul�re, nicht-administrative Mitglieder der Gruppe.
Hier ist eine Beispielzeile aus /etc/gshadow:
general:!!:shelley:juan,bob
Diese Zeile zeigt, dass General Gruppe kein Passwort besitzt und Nicht-Mitgliedern nicht erlaubt beizutreten, indem diese den Befehl newgrp verwenden. Zus�tzlich dazu ist shelley ein Gruppenadministrator und juan und bob sind regul�re, nicht-administrative Mitglieder.
Da das manuelle Bearbeiten dieser Dateien das Potential f�r Syntax-Fehler erh�ht, wird empfohlen, dass die Applikationen, die mit Red Hat Enterprise Linux f�r diesen Zweck zur Verf�gung gestellt werden stattdessen benutzt werden. Der n�chste Abschnitt behandelt die prim�ren Tools, die diese Aufgaben erf�llen.
6.3.3. Benutzer-Account und Gruppen-Applikationen
Dies sind zwei grunds�tzliche Arten von Applikationen, welche zum Verwalten von Benutzer-Accounts und Gruppen auf Red Hat Enterprise Linux-System benutzt werden k�nnen:
Die grafische User Manager-Applikation
Eine Folge von Befehlszeilen-Tools
F�r detaillierte Instruktionen zur Benutzung des User Manager, siehe das Kapitel Benutzer- und Gruppenkonfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration.
W�hrend die User Manager-Applikation und die Befehlszeilen-Dienstprogramme beide haupts�chlich die selbe Aufgabe erf�llen, haben die Befehlszeilen-Tools den Vorteil skript-f�hig zu sein und sind deshalb einfacher automatisierbar.
Die folgende Aufstellung beschreibt einige der gebr�uchlicheren Befehlszeilen-Tools, die dazu benutzt werden, Benutzer-Accounts und Gruppen zu erzeugen und zu verwalten:
Applikation
Funktion
/usr/sbin/useradd
F�gt Benutzer-Accounts hinzu. Dieses Tool wird auch dazu benutzt, prim�re und sekund�re Gruppen-Mitgliedschaft zu bestimmen.
/usr/sbin/userdel
L�scht Benutzer-Accounts.
/usr/sbin/usermod
Bearbeitet Account-Attribute inklusive einiger Funktionen in Zusammenhang mit Passwort-Aging. F�r eine noch 'feink�rnigere' Kontrolle, k�nnen Sie den Befehl passwd benutzen. usermod kann auch zum Festlegen von prim�ren und sekund�ren Gruppenmitgliedschaften benutzt werden.
passwd
Setzt Passw�rter. Obwohl haupts�chlich zur �nderung von Benutzer-Passw�rtern benutzt, werden dadurch gleichzeitig auch alle Aspekte des Passwort-Aging kontrolliert.
/usr/sbin/chpasswd
Liest in einer Datei bestehend aus Benutzername und Passwortpaaren und aktualisiert jedes einzelne Benutzerpasswort ordnungsgem��.
chage
�ndert die angewandten Passwort-Aging-Methoden des Benutzers. Der passwd-Befehl kann zu diesem Zweck auch benutzt werden.
chfn
�ndert die GECOS-Information des Benutzers.
chsh
�ndert die standardm��ige Shell des Benutzers.
Tabelle 6-2. Befehlszeilen-Tools zur Benutzter-Verwaltung
Die folgende Auflistung beschreibt einige der gebr�uchlicheren Befehlszeilen-Tools, die dazu verwendet werden Gruppen zu erstellen und zu verwalten:
Applikation
Funktion
/usr/sbin/groupadd
F�gt Gruppen hinzu, jedoch ohne Zuordnung von Benutzern. Die Programme useradd und usermod sollten f�r die Zuordnung von Benutzern zu einer bestehenden Gruppe verwendet werden.
/usr/sbin/groupdel
L�scht Gruppen.
/usr/sbin/groupmod
Modifiziert Gruppennamen oder GIDs, �ndert jedoch nicht die Gruppenmitgliedschaft. Die useradd und usermod-Programme sollten f�r die Zuordnung von Benutzern zu einer bestehenden Gruppe verwendet werden.
gpasswd
Ver�ndert Gruppenmitgliedschaft und setzt Passw�rter, um Nicht-Gruppenmitgliedern, die das Gruppenpasswort kennen, zu erm�glichen, sich der Gruppe anzuschlie�en. Es wird auch dazu benutzt, Gruppenadministratoren festzulegen.
/usr/sbin/grpck
�berpr�ft die Vollst�ndigkeit von /etc/group- und /etc/gshadow-Dateien.
Tabelle 6-3. Befehlszeilen-Tools zur Gruppen-Verwaltung
Die soweit aufgelisteten Tools bieten Systemadministratoren gro�e Flexibilit�t bei der Kontrolle aller Aspekte von Benutzer-Accounts und Gruppen-Mitgliedschaft. Um mehr dar�ber zu erfahren, siehe die jeweilige man-Seite.
Diese Applikationen legen jedoch nicht fest, welche Ressourcen von diesen Benutzern und Gruppen kontrolliert werden. Dazu muss der Systemadministrator Applikationen zur Vergabe von Dateirechten benutzen.
6.3.3.1. Dateirechte-Applikationen
Dateirechte sind ein wesentlicher Bestandteil in der Verwaltung von Ressourcen innerhalb eines Unternehmens. Die folgende Auflistung beschreibt einige der gebr�uchlicheren Befehlszeilen-Tools, die f�r diesen Zweck verwendet werden.
Applikation
Funktion
chgrp
�ndert welche Gruppe eine bestehende Datei besitzt
chmod
�ndert Zugangsrechte f�r eine bestehende Datei. Es ist auch in der Lage spezielle Genehmigungen zuzuordnen.
chown
Ver�ndert die Eigent�merschaft einer Datei (und kann ebenso die Gruppe �ndern).
Tabelle 6-4. Befehlszeilen-Tools zur Rechteverwaltung
Es ist auch m�glich diese Attribute in der grafischen Umgebung von GNOME und KDE zu ver�ndern. Klicken Sie mit der rechten Maustaste auf das Symbol der Datei (zum Beispiel w�hrend das Symbol in einem grafischen Dateimanager oder Desktop angezeigt wird) und w�hlen Sie Properties.
GECOS steht f�r 'General Electric Comprehensive Operating Supervisor'. Dieses Feld wurde in der originalen UNIX-Implementation in wissenschaftlichen Laboratorien benutzt. Das Laboratorium hatte viele verschiedene Computer, inklusive einem GECOS. Dieses Feld wurde dazu benutzt, Informationen zu speichern, wenn das UNIX-System Batch-Jobs und Druck-Jobs an das GECOS System sendete.