Hinweis:

• Dieses Tutorial ist in einer von Oracle bereitgestellten kostenlosen Übungsumgebung verfügbar.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte durch die für Ihre Cloud-Umgebung spezifischen Werte.

Benutzer und Gruppen in Oracle Linux erstellen

Einführung

Das folgende Tutorial enthält schrittweise Anleitungen für die Benutzer- und Gruppenadministration auf Oracle Linux. Sie erstellen Benutzer und Gruppen, implementieren private Benutzergruppen und erteilen Benutzern erweiterte Berechtigungen.

Ziele

In dieser Übung führen Sie folgende Schritte aus:

• Neuen Benutzer erstellen und Standardverzeichnis des Benutzers untersuchen
• Neue Gruppe erstellen und Benutzer zu Gruppe hinzufügen
• Nutzen Sie das private Gruppenschema für Benutzer, und implementieren Sie Schreibzugriff auf ein Verzeichnis
• Verwalten des Befehls sudo zur Erteilung von root-Berechtigungen

Voraussetzungen

• Ein System mit installiertem Oracle Linux

Hinweis: Wenn Sie die kostenlose Übungsumgebung verwenden, finden Sie unter Oracle Linux Lab - Grundlagen Informationen zu Verbindungen und anderen Nutzungsanweisungen.

Benutzeraccounts verwalten

In diesem Abschnitt erstellen Sie mit Befehlszeilenutilitys ein neues Benutzerkonto, zeigen Dateien an, die beim Hinzufügen eines neuen Benutzers aktualisiert werden, ändern ein Benutzerkonto, legen ein Kennwort für den neuen Benutzer fest und melden sich als neuer Benutzer an.

1. Öffnen Sie ein Terminal, und stellen Sie eine Verbindung zu Ihrer Oracle Linux-Instanz her.

2. Melden Sie sich als root-Benutzer an.

   sudo su -
   

3. Fügen Sie als root-Benutzer einen Benutzer namens alice hinzu.

   useradd alice
   

   Der Benutzer wird der Datei /etc/passwd hinzugefügt.

4. Zeigen Sie den Eintrag alice in der Datei /etc/passwd an.

   grep alice /etc/passwd
   

   

   Die Ausgabe zeigt:

   • Die UID und GID des neuen Benutzers sind identisch (1001).
   • Für den neuen Benutzer (/home/alice) wurde ein Home-Verzeichnis erstellt.
   • Die Standardshell für den neuen Benutzer ist /bin/bash.
     

5. Home-Verzeichnisse anzeigen

   ls -l /home
   

   

   In diesem Beispiel war der opc-Benutzer bereits vorhanden.
   Für den neuen Benutzer wurde ein Home-Verzeichnis erstellt, weil der Parameter CREATE_HOME in /etc/login.defs auf yes gesetzt ist.

6. Zeigen Sie den Parameter CREATE_HOME in der Datei /etc/login.defs an.

   grep CREATE_HOME /etc/login.defs
   

   

7. Zeigen Sie die Standardeinstellungen für einen neuen Benutzer an, die in /etc/default/useradd gespeichert sind.

   cat /etc/default/useradd
   

   

   Der Parameter SKEL ist auf /etc/skel gesetzt.

8. Zeigen Sie den Inhalt des /etc/skel-Verzeichnisses an.

   ls -la /etc/skel
   

   

9. Zeigen Sie den Inhalt des alice-Home-Verzeichnisses an.

   ls -la /home/alice
   

   

   Der Inhalt von SKEL (/etc/skel) wird in das Home-Verzeichnis des neuen Benutzers kopiert.

10. Zeigen Sie den neuen alice-Eintrag in der Datei /etc/group an.

    grep alice /etc/group
    

    

    Because Oracle Linux uses a user private group (UPG) scheme, a new private group (alice, GID=1001) was created when the alice user was created.

11. Ändern Sie die GECOS-Informationen für den alice-Benutzer. Zeigen Sie den alice-Eintrag in der Datei /etc/passwd vor und nach dem Ändern von GECOS-Informationen an.

    grep alice /etc/passwd
    usermod -c "Alice Smith" alice
    grep alice /etc/passwd
    

    

12. Erstellen Sie das Kennwort AB*gh246 für den alice-Benutzer. Zeigen Sie den Eintrag alice in der Datei /etc/shadow an, bevor und nachdem Sie ein Kennwort für alice erstellt haben.

    grep alice /etc/shadow
    passwd alice
    grep alice /etc/shadow
    

    

    Die !! für alice wird durch einen Hash-Passwortwert ersetzt.

13. Beenden Sie die root-Anmeldung, und melden Sie sich als alice-Benutzer an. Geben Sie das Kennwort AB*gh246 ein, wenn Sie dazu aufgefordert werden.

    exit
    su - alice
    

    

14. Stellen Sie sicher, dass Sie der alice-Benutzer sind und dass das Home-Verzeichnis des alice-Benutzers das aktuelle Verzeichnis ist.

    whoami
    pwd
    

    

15. Beenden Sie die Shell des alice-Benutzers, und werden Sie zum root-Benutzer.

    exit
    sudo su -
    

    

16. Fügen Sie als root-Benutzer einen Benutzer namens oracle hinzu, der später in dieser Übung verwendet wird.

    useradd oracle
    

17. Erstellen Sie das Kennwort XY*gh579 für den Benutzer oracle.

    passwd oracle
    

    

Gruppenkonten verwalten

In diesem Abschnitt erstellen Sie ein neues Gruppenkonto und fügen dieser neuen Gruppe einen Benutzer hinzu.

1. Fügen Sie als root-Benutzer eine Gruppe namens staff hinzu.

   groupadd staff
   

   Die Gruppe wird der Datei /etc/group hinzugefügt.

2. Zeigen Sie die letzten 10 Einträge in der Datei /etc/group an.

   tail /etc/group
   

   

   Die GID (1003) für die neue Gruppe wird um eins erhöht.

3. Fügen Sie den Benutzer alice zur Gruppe staff hinzu. Zeigen Sie den Gruppeneintrag staff in der Datei /etc/group an.

   usermod -aG 1003 alice
   grep staff /etc/group
   

   

   Der alice-Benutzer verfügt über eine sekundäre Gruppenmitgliedschaft in der staff-Gruppe.

4. Zeigen Sie die primäre Gruppenmitgliedschaft für Alice an.

   grep alice /etc/passwd
   

   

   Die primäre Gruppe des alice-Benutzers ist weiterhin 1001.

Benutzer-Private-Gruppen implementieren

In diesem Abschnitt verwenden Sie das Schema "Private Gruppen für Benutzer", um verschiedenen Benutzern Schreibzugriff auf Dateien in einem einzigen Verzeichnis zu gewähren.

1. Erstellen Sie als root-Benutzer das Verzeichnis /staff.

   mkdir /staff
   

2. Zeigen Sie das Verzeichnis /staff und die zugehörigen Berechtigungen an.

   ls -ld /staff
   

   

3. Ändern Sie die Gruppenverantwortlichkeit für das Verzeichnis /staff in die Gruppe staff. Mit der Option -R (rekursiv) wird die Gruppe für Dateien und Verzeichnisse in /staff festgelegt. Zeigen Sie das Verzeichnis /staff und die zugehörigen Berechtigungen an, nachdem Sie die Gruppeneigentümerschaft geändert haben.

   chgrp -R staff /staff
   ls -ld /staff
   

   

   Der Eigentümer des Verzeichnisses /staff ist noch root, die Gruppe ist jetzt jedoch staff.

4. Legen Sie das setgid-Bit im Verzeichnis /staff fest. Zeigen Sie dann die Berechtigungen für das Verzeichnis /staff an.

   chmod -R 2775 /staff
   ls -ld /staff
   

   

   Die Gruppenberechtigungen für das Verzeichnis /staff wurden geändert.

5. Fügen Sie den Benutzer oracle zur Gruppe staff hinzu. Zeigen Sie den Eintrag staff in der Datei /etc/group an, nachdem Sie den Benutzer oracle hinzugefügt haben.

   usermod -aG staff oracle
   grep staff /etc/group
   

   

   Sowohl alice- als auch oracle-Benutzer verfügen über eine sekundäre Gruppenmitgliedschaft in der staff-Gruppe.

6. Übernehmen Sie die Berechtigung oracle. Sie werden nicht zur Eingabe des Kennworts des oracle-Benutzers aufgefordert, weil Sie derzeit der root-Benutzer sind. Stellen Sie sicher, dass Sie der Benutzer oracle sind und das Home-Verzeichnis des Benutzers oracle das aktuelle Verzeichnis ist.

   su - oracle
   whoami
   pwd
   

   

7. Zeigen Sie die Gruppenmitgliedschaft für den oracle-Benutzer an.

   groups
   

   

   Der Benutzer oracle gehört zu zwei Gruppen: oracle und staff.

8. Wechseln Sie in das Verzeichnis /staff. Erstellen Sie eine neue Datei im Verzeichnis /staff mit dem Namen oracle_file. Zeigen Sie die Berechtigungen und den Eigentümer der neuen Datei an.

   cd /staff
   touch oracle_file
   ls -l oracle_file
   

   

   Die Berechtigungen werden für die Gruppe staff mit Schreibzugriff verwendet.

9. Übernehmen Sie die Rolle des Alice-Benutzers. Geben Sie das Kennwort AB*gh246 ein, wenn Sie dazu aufgefordert werden. Stellen Sie sicher, dass Sie der alice-Benutzer sind.

   su - alice
   whoami
   

   

10. Zeigen Sie die Gruppenmitgliedschaft für den Alice-Benutzer an.

    groups
    

    

    Der alice-Benutzer gehört zu zwei Gruppen - alice und staff.

11. Wechseln Sie in das Verzeichnis /staff. Erstellen Sie eine neue Datei im Verzeichnis /staff mit dem Namen alice_file. Zeigen Sie die Berechtigungen und den Eigentümer der neuen Dateien an.

    cd /staff
    touch alice_file
    ls -l
    

    

    Die Berechtigungen beziehen sich auf beide Dateien für die Gruppe staff.

12. Verwenden Sie als alice-Benutzer den Befehl touch, um den Zeitstempel auf der oracle_file zu aktualisieren. Zeigen Sie die Dateien an, um zu prüfen, ob die Zeit geändert wurde.

    touch oracle_file
    ls -l
    

    

    Die Aktualisierung des Zeitstempels impliziert Schreibberechtigungen für die Datei als Benutzer alice, auch wenn die Datei vom Benutzer oracle erstellt wurde.

13. Beenden Sie die Shell des alice-Benutzers und die Shell des oracle-Benutzers, um zur Shell des root-Benutzers zurückzukehren. Prüfen Sie, ob Sie der root-Benutzer sind.

    exit
    exit
    whoami
    

    

Option 1: Benutzern erweiterte Berechtigungen erteilen

In diesem Abschnitt erteilen Sie einem Benutzer sudo-Berechtigungen, indem Sie einen Eintrag zur Datei /etc/sudoers hinzufügen.

1. Übernehmen Sie die Rolle des Alice-Benutzers. Sie werden nicht zur Eingabe des alice-Passworts aufgefordert, da Sie derzeit der root-Benutzer sind. Stellen Sie sicher, dass Sie der alice-Benutzer sind.

   su - alice
   whoami
   

   

2. Versuchen Sie als alice-Benutzer, newuser hinzuzufügen.

   useradd newuser
   

   

   Der alice-Benutzer hat keine Berechtigung, newuser hinzuzufügen.

3. Fügen Sie den Befehl sudo vor dem vorherigen Befehl useradd ein, um newuser hinzuzufügen. Geben Sie das Kennwort AB*gh246 ein, wenn Sie dazu aufgefordert werden.

   sudo useradd newuser
   

   

   Der Versuch, diesen Administratorbefehl ohne korrekte Autorisierung auszugeben, wird in der Datei /var/log/secure gemeldet.

4. Beenden Sie die Shell des alice-Benutzers, um zur Shell des root-Benutzers zurückzukehren. Zeigen Sie Sudoers-Einträge in der Datei /var/log/secure an.

   exit
   grep sudoers /var/log/secure
   

   

   Der Eintrag alice : user NOT in sudoers für die versuchte Verwendung des Befehls /sbin/useradd befindet sich in der Datei /var/log/secure. Im Beispiel werden mehrere Einträge gezeigt. Möglicherweise haben Sie nur einen einzigen Eintrag.

5. Bearbeiten Sie als root-Benutzer die Datei /etc/sudoers mit dem Befehl visudo.

   visudo
   

   Mit diesem Befehl wird die Datei /etc/sudoers mit dem vim-Editor geöffnet.

6. Fügen Sie in der Datei /etc/sudoers die folgende Zeile hinzu, um dem Benutzer alice die Berechtigung zur Ausführung des Befehls /sbin/useradd zu erteilen.

   alice   ALL=(ALL)       /sbin/useradd
   

   Der neue Eintrag wird hervorgehoben. Speichern Sie die Änderungen, und beenden Sie den Befehl visudo.

   

7. Übernehmen Sie die Rolle des Alice-Benutzers. Versuchen Sie, newuser ohne den Befehl sudo hinzuzufügen. Fügen Sie den Befehl sudo ein, und versuchen Sie erneut, newuser hinzuzufügen. Geben Sie das Kennwort AB*gh246 ein, wenn Sie dazu aufgefordert werden.

   su - alice
   useradd newuser
   sudo useradd newuser
   

   

8. Prüfen Sie, ob newuser hinzugefügt wurde.

   grep newuser /etc/passwd
   ls -l /home
   

   

   Der newuser ist jetzt vorhanden. Mit dem Eintrag alice in der Datei /etc/sudoers verfügt der Benutzer alice über sudo-Berechtigungen, um den Befehl /sbin/useradd auszuführen.

9. Beenden Sie die alice-Shell, um zur root-Shell zurückzukehren. Verwenden Sie den Befehl visudo, und löschen Sie den Eintrag alice aus der Datei /etc/sudoers, die Sie zuvor in dieser Übung hinzugefügt haben.

   exit
   visudo
   

   Der zu löschende Eintrag ist hervorgehoben. Löschen Sie die gesamte Zeile, oder fügen Sie wie in diesem Beispiel das Zeichen # ein, um die Zeile zu kommentieren. Speichern Sie die Änderungen, und beenden Sie den Befehl visudo.

   

10. Stellen Sie sicher, dass der alice-Benutzer keinen neuen Benutzer mehr hinzufügen kann. Übernehmen Sie die Rolle des Alice-Benutzers. Versuchen Sie, anotheruser mit dem Befehl sudo hinzuzufügen.

    su - alice
    sudo useradd anotheruser
    

    

    Der Versuch, diesen Administratorbefehl ohne korrekte Autorisierung auszugeben, wird in der Datei /var/log/secure gemeldet.

11. Beenden Sie die Shell des alice-Benutzers, um zur Shell des root-Benutzers zurückzukehren.

    exit
    

Option 2: Benutzern erweiterte Berechtigungen erteilen

In diesem Abschnitt erteilen Sie sudo-Berechtigungen, indem Sie der Gruppe wheel einen Benutzer hinzufügen.

1. Zeigen Sie als root-Benutzer den Eintrag wheel in der Datei /etc/sudoers an.

   grep wheel /etc/sudoers
   

   

   Mit dem Eintrag %wheel ALL=(ALL) ALL in der Datei /etc/sudoers kann jedes Mitglied der Gruppe wheel jeden Befehl ausführen, wenn vor sudo steht.

2. Fügen Sie den Benutzer alice zur Gruppe wheel hinzu. Vergewissern Sie sich, dass der Benutzer alice sich in der Gruppe wheel befindet.

   usermod -aG wheel alice
   grep wheel /etc/group
   

   

   Benutzer alice hat eine sekundäre Gruppenmitgliedschaft in der rad-Gruppe.

3. Übernehmen Sie die Rolle des Alice-Benutzers. Sie werden nicht zur Eingabe des alice-Passworts aufgefordert, da Sie derzeit der root-Benutzer sind. Stellen Sie sicher, dass Sie der alice-Benutzer sind.

   su - alice
   whoami
   

   

4. Fügen Sie als alice-Benutzer thirduser mit dem Befehl sudo useradd hinzu. Geben Sie bei Aufforderung das Kennwort AB*gh246 ein.

   sudo useradd thirduser
   

   

5. Prüfen Sie, ob thirduser hinzugefügt wurde. Der Befehl ls schlägt fehl, bis Sie sudo einfügen und das Alice-Kennwort angeben. Dadurch wird bestätigt, dass der alice-Benutzer über sudo-Berechtigungen verfügt.

   grep thirduser /etc/passwd
   ls -la /home/thirduser
   sudo ls -la /home/thirduser
   

   

Weitere Lernressourcen

Sehen Sie sich andere Übungen auf der Website docs.oracle.com/learn an, oder greifen Sie auf Inhalte zu, die Sie über den Oracle Learning-Kanal YouTube benötigen. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie unter Oracle Help Center.

---

Titel und Copyright-Informationen

Create users and groups on Oracle Linux

F49509-05

July 2022

Copyright © 2021, Oracle and/or its affiliates.