Die korrekte Verwaltung von Benutzern und Gruppen auf einem Linux-Server ist eine grundlegende Aufgabe für Systemadministratoren. Besonders bei Admin-Accounts ist eine saubere Strukturierung und das Einhalten von Best Practices entscheidend, um Sicherheit, Nachvollziehbarkeit und Trennung von Rechten zu gewährleisten. In diesem Tutorial erfahren Sie, wie Benutzer und Gruppen effizient angelegt werden, welche Optionen sinnvoll sind und wie administrative Konten sicher verwaltet werden.
Grundlagen von Benutzern und Gruppen
In Linux-Systemen werden Zugriffsrechte durch Benutzerkonten und Gruppen definiert. Jede Datei und jeder Prozess hat einen Besitzer (User) und eine zugehörige Gruppe, die Berechtigungen bestimmen:
- Benutzer: Einzelne Identität mit Login, Passwort und optionalen SSH-Schlüsseln
- Gruppen: Zusammenfassung mehrerer Benutzer für vereinfachtes Berechtigungsmanagement
- Root: Superuser-Konto mit uneingeschränkten Rechten
Best Practices sehen vor, dass administrative Aufgaben nicht direkt mit Root, sondern über dedizierte Admin-Konten durchgeführt werden.
Benutzerkonten anlegen
Einfaches Anlegen eines Benutzers
sudo adduser max
# Passwort setzen
sudo passwd max
Dieser Befehl legt einen Benutzer “max” an, erstellt das Home-Verzeichnis und fordert zur Passwortvergabe auf.
Optionale Parameter beim Benutzer anlegen
-m: Home-Verzeichnis erstellen-s /bin/bash: Standardshell festlegen-G gruppe1,gruppe2: Benutzer zu zusätzlichen Gruppen hinzufügen-c "Kommentar": Vollständiger Name oder Beschreibung
sudo adduser -m -s /bin/bash -G sudo,audit -c "Max Mustermann" max
Gruppenverwaltung
Neue Gruppe erstellen
sudo groupadd admins
Gruppen erleichtern die Verwaltung von Berechtigungen für mehrere Benutzer gleichzeitig.
Benutzer zu einer Gruppe hinzufügen
sudo usermod -aG admins max
Der Parameter -aG stellt sicher, dass bestehende Gruppenmitgliedschaften erhalten bleiben.
Gruppenmitgliedschaften prüfen
groups max
id max
Administrative Accounts sicher einrichten
Root-Zugriff sollte auf das Minimum beschränkt sein. Best Practices:
- Dedizierte Admin-Konten statt Root-Login verwenden
- Sudo-Rechte gezielt vergeben
- SSH-Zugriff nur mit Schlüssel, Passwortauthentifizierung deaktivieren
- Separate Gruppen für unterschiedliche administrative Aufgaben anlegen
Sudo-Rechte konfigurieren
sudo usermod -aG sudo max
# Testen der sudo-Rechte
su - max
sudo whoami
Die Datei /etc/sudoers oder /etc/sudoers.d/-Einträge ermöglichen granulare Rechtevergabe, z. B. nur für bestimmte Befehle.
Benutzerkonten für Dienst und Automatisierung
Für Prozesse oder Dienste empfiehlt es sich, eigene Benutzer anzulegen:
- Keine Shell oder Loginrechte:
/usr/sbin/nologinoder/bin/false - Minimalrechte im Dateisystem
- Gruppen zur Zugriffsbeschränkung verwenden
sudo adduser --system --no-create-home --shell /usr/sbin/nologin backup
sudo adduser backup backup-group
Passwort- und Sicherheitsrichtlinien
Für alle Benutzer, insbesondere Admins:
- Starke Passwörter oder SSH-Schlüssel verwenden
- Regelmäßige Passwortrotation
- Sperren inaktive Konten:
sudo usermod -L username - Audit-Logs für sudo-Aktionen prüfen
Standardisierte Benutzer- und Gruppenstruktur
Für Unternehmen und Lab-Umgebungen empfiehlt sich ein konsistentes Schema:
- Admins: Gruppe für alle administrativen Konten
- Service-Accounts: Für Backup, Monitoring, Automatisierung
- Regular Users: Standardbenutzer für Mitarbeiter
- Gruppennamen: klar und aussagekräftig, z. B.
db-admins,netops
Audit und Überwachung
Regelmäßige Kontrolle von Benutzer- und Gruppenrechten verhindert Sicherheitslücken:
getent passwd
getent group
sudo lastlog
sudo faillog
Zusätzlich sollten Logins und sudo-Aktivitäten über zentrale Monitoring-Systeme erfasst werden.
Zusammenfassung der Best Practices
- Keine direkten Root-Logins: dedizierte Admin-Konten verwenden
- Gruppen für Rollen und Aufgaben anlegen
- Sudo-Rechte nur gezielt vergeben
- SSH-Zugriffe absichern (Keys, deaktivierte Passwörter)
- Service-Accounts minimal berechtigen und eigene Gruppen nutzen
- Regelmäßige Auditierung von Konten und Berechtigungen
- Dokumentation der Benutzer- und Gruppenstruktur für Betrieb und Compliance
Mit diesen Maßnahmen stellen Sie sicher, dass Ihr Linux-Server sauber strukturierte Benutzer- und Gruppenrechte besitzt, administrative Zugriffe nachvollziehbar und sicher sind und das System langfristig stabil betrieben werden kann.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
