Benutzer und Gruppen anlegen: Best Practices für Admin-Accounts

Die korrekte Verwaltung von Benutzern und Gruppen auf einem Linux-Server ist eine grundlegende Aufgabe für Systemadministratoren. Besonders bei Admin-Accounts ist eine saubere Strukturierung und das Einhalten von Best Practices entscheidend, um Sicherheit, Nachvollziehbarkeit und Trennung von Rechten zu gewährleisten. In diesem Tutorial erfahren Sie, wie Benutzer und Gruppen effizient angelegt werden, welche Optionen sinnvoll sind und wie administrative Konten sicher verwaltet werden.

Grundlagen von Benutzern und Gruppen

In Linux-Systemen werden Zugriffsrechte durch Benutzerkonten und Gruppen definiert. Jede Datei und jeder Prozess hat einen Besitzer (User) und eine zugehörige Gruppe, die Berechtigungen bestimmen:

• Benutzer: Einzelne Identität mit Login, Passwort und optionalen SSH-Schlüsseln
• Gruppen: Zusammenfassung mehrerer Benutzer für vereinfachtes Berechtigungsmanagement
• Root: Superuser-Konto mit uneingeschränkten Rechten

Best Practices sehen vor, dass administrative Aufgaben nicht direkt mit Root, sondern über dedizierte Admin-Konten durchgeführt werden.

Benutzerkonten anlegen

Einfaches Anlegen eines Benutzers

sudo adduser max
# Passwort setzen
sudo passwd max

Dieser Befehl legt einen Benutzer “max” an, erstellt das Home-Verzeichnis und fordert zur Passwortvergabe auf.

Optionale Parameter beim Benutzer anlegen

• -m: Home-Verzeichnis erstellen
• -s /bin/bash: Standardshell festlegen
• -G gruppe1,gruppe2: Benutzer zu zusätzlichen Gruppen hinzufügen
• -c "Kommentar": Vollständiger Name oder Beschreibung

sudo adduser -m -s /bin/bash -G sudo,audit -c "Max Mustermann" max

Gruppenverwaltung

Neue Gruppe erstellen

sudo groupadd admins

Gruppen erleichtern die Verwaltung von Berechtigungen für mehrere Benutzer gleichzeitig.

Benutzer zu einer Gruppe hinzufügen

sudo usermod -aG admins max

Der Parameter -aG stellt sicher, dass bestehende Gruppenmitgliedschaften erhalten bleiben.

Gruppenmitgliedschaften prüfen

groups max
id max

Administrative Accounts sicher einrichten

Root-Zugriff sollte auf das Minimum beschränkt sein. Best Practices:

• Dedizierte Admin-Konten statt Root-Login verwenden
• Sudo-Rechte gezielt vergeben
• SSH-Zugriff nur mit Schlüssel, Passwortauthentifizierung deaktivieren
• Separate Gruppen für unterschiedliche administrative Aufgaben anlegen

Sudo-Rechte konfigurieren

sudo usermod -aG sudo max
# Testen der sudo-Rechte
su - max
sudo whoami

Die Datei /etc/sudoers oder /etc/sudoers.d/-Einträge ermöglichen granulare Rechtevergabe, z. B. nur für bestimmte Befehle.

Benutzerkonten für Dienst und Automatisierung

Für Prozesse oder Dienste empfiehlt es sich, eigene Benutzer anzulegen:

• Keine Shell oder Loginrechte: /usr/sbin/nologin oder /bin/false
• Minimalrechte im Dateisystem
• Gruppen zur Zugriffsbeschränkung verwenden

sudo adduser --system --no-create-home --shell /usr/sbin/nologin backup
sudo adduser backup backup-group

Passwort- und Sicherheitsrichtlinien

Für alle Benutzer, insbesondere Admins:

• Starke Passwörter oder SSH-Schlüssel verwenden
• Regelmäßige Passwortrotation
• Sperren inaktive Konten: sudo usermod -L username
• Audit-Logs für sudo-Aktionen prüfen

Standardisierte Benutzer- und Gruppenstruktur

Für Unternehmen und Lab-Umgebungen empfiehlt sich ein konsistentes Schema:

• Admins: Gruppe für alle administrativen Konten
• Service-Accounts: Für Backup, Monitoring, Automatisierung
• Regular Users: Standardbenutzer für Mitarbeiter
• Gruppennamen: klar und aussagekräftig, z. B. db-admins, netops

Audit und Überwachung

Regelmäßige Kontrolle von Benutzer- und Gruppenrechten verhindert Sicherheitslücken:

getent passwd
getent group
sudo lastlog
sudo faillog

Zusätzlich sollten Logins und sudo-Aktivitäten über zentrale Monitoring-Systeme erfasst werden.

Zusammenfassung der Best Practices

• Keine direkten Root-Logins: dedizierte Admin-Konten verwenden
• Gruppen für Rollen und Aufgaben anlegen
• Sudo-Rechte nur gezielt vergeben
• SSH-Zugriffe absichern (Keys, deaktivierte Passwörter)
• Service-Accounts minimal berechtigen und eigene Gruppen nutzen
• Regelmäßige Auditierung von Konten und Berechtigungen
• Dokumentation der Benutzer- und Gruppenstruktur für Betrieb und Compliance

Mit diesen Maßnahmen stellen Sie sicher, dass Ihr Linux-Server sauber strukturierte Benutzer- und Gruppenrechte besitzt, administrative Zugriffe nachvollziehbar und sicher sind und das System langfristig stabil betrieben werden kann.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.