© 1afoto, Fotolia
Die LPI-Prüfung deckt viele Themen ab - echtes Handwerkszeug für den täglichen Gebrauch finden Systemverwalter in Topic 111. Unter der Überschrift "Administrative Tätigkeiten" geht es um Benutzer- und Gruppenverwaltung, Umgebungsvariablen und die Job-Automatisierung mit Cron und At.
Kein Linux-PC kommt ohne Accounts aus - schon die Level-1-Prüfung fordert recht tief gehende Kenntnisse rund ums Anlegen und Verwalten der Konten. Besonders wichtig sind hier »/etc/passwd« und »/etc/shadow«. Als LPI-Prüfling müssen Sie nicht nur wissen, welche Informationen in welcher Datei stehen, sondern die exakte Reihenfolge kennen.
Zum Glück ist die Datei »/etc/passwd« recht überschaubar: Die enthaltenen Zeilen haben den Aufbau »Accountname:Passwort:UID:GID:GECOS/Realname:Homedir:Shell«. Bereits anhand weniger markanter Merkmale entlarven Sie hier schnell falsche Antworten im Multiple-Choice-Test von LPI: Die Einträge beginnen mit dem Accountnamen und enden mit der Login-Shell (und nicht etwa mit dem Homeverzeichnis). Achten Sie bei den vorgegebenen Antworten auch darauf, ob sie das (gegebenenfalls leere) Passwortfeld und das Feld für den Realnamen (GECOS, siehe Kasten "Stichwort GECOS") enthalten.
| Stichwort GECOS |
|---|
| Der Begriff GECOS stammt von Unix-Systemen aus den 70er Jahren und steht für General Electric Comprehensive Operating Supervisor. Je nach Unix-Version wurden in diesem Feld verschiedene Informationen zur Identifizierung des Accounts abgelegt. Da diese Daten unter Linux nicht nötig sind, nutzt man das Feld häufig zum Speichern von Name, Büronummer und Durchwahl. Um diese Daten komfortabel zu bearbeiten, verwenden Sie das Tool »chfn«; mit »finger« kann sie jeder Benutzer abrufen, sofern auf dem Rechner ein »finger«-Daemon läuft. |
Etwas ungewohnter ist für viele Administratoren die Datei »/etc/shadow«. Die genaue Bedeutung der Zahlen in den hinteren Spalten ist oft unklar, zudem ist die Reihenfolge der Zahlenfelder schwer einzuprägen. Tabelle 1 erklärt die einzelnen Felder der Shadow-Datei.
|
Tabelle 1: Aufbau |
||
|---|---|---|
| Pos. |
Beispiel |
Bedeutung |
| 1 |
test |
Benutzername |
| 2 |
$2a$10... |
Passwort-Hash (in der Dokumentation verschlüsseltes |
| 3 |
13555 |
Datum der letzten Passwortänderung (in Tagen seit dem |
| 4 |
Minimales Passwortalter in Tagen (verhindert häufige |
|
| 5 |
100 |
Maximales Passwortalter in Tagen (verhindert zu hohes Alter des |
| 6 |
7 |
Wann erhält der Benutzer eine Warnung, dass sein Passwort |
| 7 |
(leer) |
Wann wird ein Account mit abgelaufenem Passwort deaktiviert (in |
| 8 |
13787 |
Expiry-Datum für den Account, der Beispielwert entspricht |
| 9 |
(leer) |
(reserviert) |
Die Shadow-Datei birgt manche nützliche Funktion: Accounts können Sie von vornherein zeitlich befristen oder automatisch durch das System sperren lassen, wenn sich der Inhaber längere Zeit nicht einloggt und sein Passwort nicht aktualisiert. Das beugt wirksam toten Accounts vor und minimiert damit ein potenzielles Sicherheitsrisiko.
Die Felder und deren Bedeutungen müssen Sie für die Prüfung in der richtigen Reihenfolge beherrschen - das ist Fleißarbeit. Suchen Sie sich ein paar Eselsbrücken oder entdecken eine für Sie schlüssige Logik der Reihenfolge, denn die Felder sind nicht ganz beliebig angeordnet. Im LPI-Test kommen Ihnen die Multiple-Choice-Fragen zugute. Auch dort erkennen Sie mit gesundem Halbwissen nach dem Ausschlussverfahren viele Antworten schnell als falsch, was Ihnen die Möglichkeit eröffnet, qualifiziert zu raten.
Neben »passwd« und »shadow« gehören noch »/etc/group« und »/etc/gshadow« zu den wichtigen Dateien der Accountverwaltung, wobei manche Distributionen auf »gshadow« verzichten und Gruppenpasswörter in »group« speichern.
Theoretisch ließen sich Accounts allein durch Bearbeiten dieser Dateien anlegen, doch auch der Profi-Administrator wird die Standardtools »chage«, »gpasswd«, »groupadd«, »groupdel«, »groupmod«, »passwd«, »useradd«, »userdel« und »usermod« zu schätzen wissen. Von allen hier genannten Tools sollten Sie die Manpages studieren, um die Aufrufparameter zu kennen, die für die normale Accountverwaltung erforderlich sind.
Wichtige Informationen, die »useradd« in die Datei »/etc/passwd« schreibt, können Sie hier auch gleich per Parameter angeben: Ein besonderer Pfad zum Homeverzeichnis (»-d«), eine spezielle Login-Shell (»-s«), User-ID (»-u«) oder Gruppen-ID (»-g«) und der Realname des Nutzers im GECOS-Feld (»-c« für Comment) sind auf diese Weise schnell konfiguriert. Abbildung 1 enthält einen Ausschnitt der »useradd«-Manpage, der zeigt, dass das Tool zahlreiche weitere Optionen bietet.
| LPI-Aufgabengruppen |
|---|
| Das Linux Professional Institute gliedert die Prüfungsfragen in Aufgabengruppen. Dieser Artikel erklärt die Abschnitte:
|
Abbildung 1: Die Tools zur Benutzer- und Gruppenverwaltung besitzen zahlreiche Optionen, wie hier die Manpage zu »useradd« zeigt. Die meisten sind für die LPI-Prüfung aber irrelevant.
Einen bestehenden Account bearbeiten Sie mit »usermod«, viele Parameter dieses Programms sind mit denen von »useradd« identisch. Komfortabel ist die Möglichkeit, mit »-m« das Homeverzeichnis zu verschieben, wenn Sie mit »usermod« einen Account umbenennen. Das dritte Tool im Bunde, »userdel«, ist vergleichsweise überschaubar. Die einzige interessante Option gilt der Frage, ob das Homeverzeichnis beim Löschen eines Accounts erhalten bleibt (Standard) oder verschwindet (»-r«).
Die drei Tools »groupadd«, »groupdel« und »groupmod« müssen Sie ebenfalls der Funktion nach kennen. Ein schneller Blick in die Manpages zeigt: Soweit die von »useradd« & Co. bekannten Aufrufparameter hier Sinn ergeben, sind sie identisch benannt.
Etwas Aufmerksamkeit sollten Sie noch dem recht unbekannten Tool »chage« (change aging) schenken. Hier schließt sich der Kreis zu den Feldern der Datei »/etc/shadow«, denn darüber legen Sie fest, wie und wann Accounts ungültig werden (expiry). Für den Zweck der LPI-Vorbereitung reicht es jedoch aus, diese grundlegende Aufgabe dem Tool zuordnen zu können.
Umfang: 4 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
