Hi,
mal eine Frage.
ich versuche gerade einen neuen User per Hand anzulegen, also ohne GUI.
Die passwd habe ich schon modifiziert und es funktioniert auch alles soweit.
Wenn ich über "su <user>" mich einloge geht es auch nur wenn ich an irgendeiner Stelle das passwort eingeben muß, z.B. beim normalen Login, funzt es nicht. Ich habe bei der passwd den Teil für das Passwort einfach freigelassen....
Die Frage ist wo oder wie kann ich das Passwort für den neuen User anlegen ??
Danke und Grüße
Andreas
User anlegen !!
-
Jochen
Re: User anlegen !!
Dein Problem kann mehrere Möglichkeiten haben:
- Entsprechender Eintrag zum User in der /etc/shadow fehlt. Dort werden die Informationen übers Passwort, Alter der Passwortes, gelockter Account und so gehalten.
- Eintrag in /etc/shadow ist da, aber kein Passwort gesetzt worden. Einfach mal als root "passwd username" eingeben und eins setzen, dann sollte das Problem vorbei sein.
Ich tippe mal, Du wolltest explizit einen User "von Hand" anlegen? Ansonsten gibt es auch "useradd" bei RH/SuSE oder "adduser" bei Debian, die das ganze Prozedere automatisieren.
Jochen
- Entsprechender Eintrag zum User in der /etc/shadow fehlt. Dort werden die Informationen übers Passwort, Alter der Passwortes, gelockter Account und so gehalten.
- Eintrag in /etc/shadow ist da, aber kein Passwort gesetzt worden. Einfach mal als root "passwd username" eingeben und eins setzen, dann sollte das Problem vorbei sein.
Ich tippe mal, Du wolltest explizit einen User "von Hand" anlegen? Ansonsten gibt es auch "useradd" bei RH/SuSE oder "adduser" bei Debian, die das ganze Prozedere automatisieren.
Jochen
Re: User anlegen !!
in /etc/passwd :
nobody
65534:65534:nobody:/home:/bin/sh
Username:x soll/muss da rein damit das System weiss das das Passwort crypted in der shadow steht:
dann folgt User ID und Group ID, manche System meinen für jeden USer unbedingt eine Group ID anlegen zu müssen, sehr ärgerlich (RH): Kommentarfeld : Home-Verzeichnis : User-Shell
in /etc/shadow :
nobody:*:11295:0:99999:7:::
Username: hier steht statt ein Passwort ein * damit es _kein_ gültiges Passwort gibt. In der Regel steht dort das Passwort _verschlüsselt_ und das überläßt du am Besten passwd : den Rest betrifft das Passwortalter näheres unter man shadow
Falls das öfter ansteht, kann ich dir empfehlen kurz ein eigenes adduser skript zu schreiben.
Die Useradd der Distris sind seehhrr lästig. zB debian fragt noch immer jede Menge unnützen Krempel ab.
RH legt immer pro User ID eine Group ID an.
Max
nobody
65534:65534:nobody:/home:/bin/shUsername:x soll/muss da rein damit das System weiss das das Passwort crypted in der shadow steht:
dann folgt User ID und Group ID, manche System meinen für jeden USer unbedingt eine Group ID anlegen zu müssen, sehr ärgerlich (RH): Kommentarfeld : Home-Verzeichnis : User-Shell
in /etc/shadow :
nobody:*:11295:0:99999:7:::
Username: hier steht statt ein Passwort ein * damit es _kein_ gültiges Passwort gibt. In der Regel steht dort das Passwort _verschlüsselt_ und das überläßt du am Besten passwd : den Rest betrifft das Passwortalter näheres unter man shadow
Falls das öfter ansteht, kann ich dir empfehlen kurz ein eigenes adduser skript zu schreiben.
Die Useradd der Distris sind seehhrr lästig. zB debian fragt noch immer jede Menge unnützen Krempel ab.
RH legt immer pro User ID eine Group ID an.
Max
-
tuxic trace
Re: User anlegen !!
In der shadow kannst Du den Benutzer einfach so anlegen:
nobody:*:::::::
und dann mit "passwd user" das passwort setzten, die Zahlen legt das System selber an (wofür die stehen: man shadow) Ansonsten, wenn Du auch das passwd per Hand einfügen willst, mußt Du erstmal rausfinden, mit welchem Algorythmus das System Deine Passwörter verschlüselt (meistens crypt oder md5), dann kannst Du evtl das Passwor oer Hand verschlüsslen und einfügen. Macht aber wenig Sinn. Finde ich.
nobody:*:::::::
und dann mit "passwd user" das passwort setzten, die Zahlen legt das System selber an (wofür die stehen: man shadow) Ansonsten, wenn Du auch das passwd per Hand einfügen willst, mußt Du erstmal rausfinden, mit welchem Algorythmus das System Deine Passwörter verschlüselt (meistens crypt oder md5), dann kannst Du evtl das Passwor oer Hand verschlüsslen und einfügen. Macht aber wenig Sinn. Finde ich.
-
Jochen
Re: User anlegen !!
@Max, offtopic:
User-owned groups sind nicht unbedingt schlecht. Man kann die umask beispielsweise auf 002 setzen, ohne dass Gruppenmitglieder in die eigenen Dateien schreiben können - weil es keine gibt. Bei Projekten, bei denen man zusammenarbeiten muss, kann man Verzeichnisse mit gesetztem SGID-Recht verwenden, damit die dort angelegten Dateien alle an die Projekt-Gruppe fallen - praktischerweise ist das Schreibrecht für Leute in der Gruppe dann auch gleich gesetzt.
Man muss es nicht mögen, aber ärgerlich ist es nicht unbedingt und je nach Einsatzgebiet eines rechners sogar praktisch.
Jochen
User-owned groups sind nicht unbedingt schlecht. Man kann die umask beispielsweise auf 002 setzen, ohne dass Gruppenmitglieder in die eigenen Dateien schreiben können - weil es keine gibt. Bei Projekten, bei denen man zusammenarbeiten muss, kann man Verzeichnisse mit gesetztem SGID-Recht verwenden, damit die dort angelegten Dateien alle an die Projekt-Gruppe fallen - praktischerweise ist das Schreibrecht für Leute in der Gruppe dann auch gleich gesetzt.
Man muss es nicht mögen, aber ärgerlich ist es nicht unbedingt und je nach Einsatzgebiet eines rechners sogar praktisch.
Jochen
Re: User anlegen !!
@jochen
Hast recht. Kann praktisch sein.
Gegenbeispiel: User müssen alle eine bestimmte GID haben. (Mailserver, jeder User muss in der Gruppe "Mailuser", auch Alle User (1000 <UID<10000) in die Gruppe packen klappte nicht.
Ärgerlich fande ich nur das RH mal wieder ein eigenes Süppchen kochte und man das "Feature" nur mit useradd -n abstellen konnte. Ich habe ja nichts generell gegen zusätzliche Funktionen, aber bitte nur wenn ich es bewußt aktiviere.
Aber ist nicht wirklich wichtig.
gruss Max
Hast recht. Kann praktisch sein.
Gegenbeispiel: User müssen alle eine bestimmte GID haben. (Mailserver, jeder User muss in der Gruppe "Mailuser", auch Alle User (1000 <UID<10000) in die Gruppe packen klappte nicht.
Ärgerlich fande ich nur das RH mal wieder ein eigenes Süppchen kochte und man das "Feature" nur mit useradd -n abstellen konnte. Ich habe ja nichts generell gegen zusätzliche Funktionen, aber bitte nur wenn ich es bewußt aktiviere.
Aber ist nicht wirklich wichtig.
gruss Max
-
Andreas
Re: User anlegen !!
Vielen Dank für die Hilfe.
Habe es so gemacht wie Max es beschrieben hat und es klappt einwandfrei <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Gibt es eigentlich eine Möglichkeit, wieder per Hand *g*, dem User einzuschränken... ? So z.B. das er in sein Home Verzeichniss kann aber nicht eine Ebene höher ?
Grüße
Andreas
Habe es so gemacht wie Max es beschrieben hat und es klappt einwandfrei <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Gibt es eigentlich eine Möglichkeit, wieder per Hand *g*, dem User einzuschränken... ? So z.B. das er in sein Home Verzeichniss kann aber nicht eine Ebene höher ?
Grüße
Andreas
-
Andreas
Re: User anlegen !!
Da habe ich noch was vergessen....
Wie kann man z.B. Rechte für einzelne commands vergeben ?
So ist es z.B. für den User den ich angelegt habe nicht möglich einen "traceroute" zu machen.
Danke
Andreas
Wie kann man z.B. Rechte für einzelne commands vergeben ?
So ist es z.B. für den User den ich angelegt habe nicht möglich einen "traceroute" zu machen.
Danke
Andreas
-
tuxic trace
Re: User anlegen !!
Wird aufwendig, du brauchst ein Dateisystem mit ACLs (acl.bestbits.at und/oder oss.sgi.com/projects/xfs), mußt sämtliche Berechtigungen der "Welt" entziehen und dann für jeden Benutzer/jede Gruppe wieder die Rechte setzen.
Da kannst Du schnell was "kaputt" machen.
Da kannst Du schnell was "kaputt" machen.
-
Jochen
Re: User anlegen !!
Die simple Variante wäre, mit einer restricted Shell anzufangen, rbash beispielsweise (siehe Manual-Page zur bash, Abschnitt "RESTRICTED SHELL"). Wieder einen Schritt weiter käme man dann mit einer chroot-Umgebung, die aber nicht ganz einfach einzurichten ist: <a href="http://www.tldp.org/LDP/solrhe/Securing ... ec296.html" target="_blank"><!--auto-->http://www.tldp.org/LDP/solrhe/Securing ... <!--auto-->
Jochen
Jochen
Re: User anlegen !!
Na ja, für traceroute ist ein chmod 755 schon ausreichend.
Aber ich empfehle dringend das lesen von man chmod und man chown. Sowie Docs zum Thema Benutzerrechte und Co.
Andere Programme brauchen oftmals aber bestimmte rechte, weil sie von anderen Prozessen aufgerufen werden.
Oder Sie brauchen das s-Bit oder ähnliches. Dann würde ein chmod 755 (zB) zu unerwarteten Effekten führen.
Wie man den User am Besten in sein Home-Verzeichnis "einsperrt" weiss ich nicht. Habe da noch nicht die optimale Lösung gesehen. Entweder zu simpel zu überwinden oder zu aufwendig umzusetzen.
Wenn da einer eine vernünftigen Tipp, warte dankbar.
Gruss Max
Aber ich empfehle dringend das lesen von man chmod und man chown. Sowie Docs zum Thema Benutzerrechte und Co.
Andere Programme brauchen oftmals aber bestimmte rechte, weil sie von anderen Prozessen aufgerufen werden.
Oder Sie brauchen das s-Bit oder ähnliches. Dann würde ein chmod 755 (zB) zu unerwarteten Effekten führen.
Wie man den User am Besten in sein Home-Verzeichnis "einsperrt" weiss ich nicht. Habe da noch nicht die optimale Lösung gesehen. Entweder zu simpel zu überwinden oder zu aufwendig umzusetzen.
Wenn da einer eine vernünftigen Tipp, warte dankbar.
Gruss Max
-
Jochen
Re: User anlegen !!
Ach ja, von wegen traceroute: Das Kommando muss SUID-root installiert sein, da nur root unter Linux die dazu notwendigen RAW-Sockets anlegen darf. traceroute bastelt sich seine IP-Pakete nämlich von Hand, um die TTL (Time To Live) der Pakete selbst bestimmen zu können.
Wenn Du (aus Sicherheitsgründen?) das SUID-Recht entfernt hast, kann nur noch root das Binary sinnvoll benutzen - andere dürfen es zwar aufrufen, aber die notwendigen System-Calls brechen wg. mangelnder Zugriffsrechte ab.
Jochen
Wenn Du (aus Sicherheitsgründen?) das SUID-Recht entfernt hast, kann nur noch root das Binary sinnvoll benutzen - andere dürfen es zwar aufrufen, aber die notwendigen System-Calls brechen wg. mangelnder Zugriffsrechte ab.
Jochen
-
tuxic trace
Re: User anlegen !!
Unter vorbehalt (da nicht persönlich getestet):
http://www.aarongifford.com/computers/chrsh.html
http://www.gsyc.inf.uc3m.es/~assman/jail/
als howto:
http://tjw.org/chroot-login-HOWTO/
auf russisch aber mit Quellcode (wer eines von beiden lesen kann):
http://www.opennet.ru/base/patch/chroot1.txt.html
Falls es nur um "remote" logins per ssh geht:
http://www.ssh.com/products/ssh/adminis ... tmgr_.html
http://mail.incredimail.com/howto/openssh/
oder unter Umdständen einfach die shell restricted aufrufen (geht mit sh, ksh un bash, (t)csh weiß ich nicht), dann kann der Benutzer aber auch nicht in seine eigenen Unterverzeichnisse, da "cd" nicht funktioniert.
http://www.aarongifford.com/computers/chrsh.html
http://www.gsyc.inf.uc3m.es/~assman/jail/
als howto:
http://tjw.org/chroot-login-HOWTO/
auf russisch aber mit Quellcode (wer eines von beiden lesen kann):
http://www.opennet.ru/base/patch/chroot1.txt.html
Falls es nur um "remote" logins per ssh geht:
http://www.ssh.com/products/ssh/adminis ... tmgr_.html
http://mail.incredimail.com/howto/openssh/
oder unter Umdständen einfach die shell restricted aufrufen (geht mit sh, ksh un bash, (t)csh weiß ich nicht), dann kann der Benutzer aber auch nicht in seine eigenen Unterverzeichnisse, da "cd" nicht funktioniert.
Re: User anlegen !!
http://tjw.org/chroot-login-HOWTO/
Danke für den Link.
Ich habe nicht damit gerechnet das es "sowenig" Aufwand ist.
Mit ge"chroot"en Home-Verzeichnissen sollte man ja nichts (wichtiges) mehr kaputtkriegen.
Allerdings läuft ja noch alles auf dem gleichen Dateisystem, so sollte man zumindestens für das Home-Verzeichnis eine eigene Platte anbieten.
Ich muss mal mehr dazu lesen, wenn ich Zeit habe.
Denn wie genau wird die Hardware getrennt. Wird sie getrennt?
Was ist mit der NIC?
Naja, für die ganz Harten gibt es ja noch:
<a href="http://www.lids.org/about.html" target="_blank"><!--auto-->http://www.lids.org/about.html</a><!--auto-->
damit bekommt man sogar root in den Griff ;<!--no-->-)
gruss
max
Danke für den Link.
Ich habe nicht damit gerechnet das es "sowenig" Aufwand ist.
Mit ge"chroot"en Home-Verzeichnissen sollte man ja nichts (wichtiges) mehr kaputtkriegen.
Allerdings läuft ja noch alles auf dem gleichen Dateisystem, so sollte man zumindestens für das Home-Verzeichnis eine eigene Platte anbieten.
Ich muss mal mehr dazu lesen, wenn ich Zeit habe.
Denn wie genau wird die Hardware getrennt. Wird sie getrennt?
Was ist mit der NIC?
Naja, für die ganz Harten gibt es ja noch:
<a href="http://www.lids.org/about.html" target="_blank"><!--auto-->http://www.lids.org/about.html</a><!--auto-->
damit bekommt man sogar root in den Griff ;<!--no-->-)
gruss
max