Jan Ulrich Hasecke
2022-06-30 2612805de7de8795c3f9092fc5f93671a8553150
commit | author | age
261280 1 # Benutzerrollen {#kap-benutzerrollen}
JUH 2
3 Um Dienste, Programme und Dämonprozesse sicher voneinander zu trennen,
4 laufen sie im Debian-Betriebssystem unter verschiedenen Benutzern mit
5 jeweils klar definierten Rechten. Dies gilt auch für die Aufgaben, die
6 man als Nutzer der Plattform in seinem Web-Paket erledigt. Wer mit der
7 Managed Operations Platform Webanwendungen betreibt, muss im Laufe der
8 Zeit zahlreiche Benutzer anlegen. Jeder Benutzer erfüllt eine spezielle
9 Rolle. Die Rollen werden durch die Vergabe von Rechten auf
10 Betriebssystemebene definiert. Für Personen, die bisher noch nicht mit
11 Unix-Systemen und dem Konzept unterschiedlicher Benutzer gearbeitet
12 haben, stellt dieses Mehrbenutzerkonzept am Anfang eine Hürde dar.
13 Ausführliche Unix-Kenntnisse sind nicht erforderlich, um auf der
14 Hostsharing-Plattform Benutzer anzulegen, da das Verwaltungswerkzeug
15 `HSAdmin`{.interpreted-text role="program"} diese Aufgabe vereinfacht.
16 Da in diesem Handbuch die Kenntnis der Rollen an vielen Stellen
17 vorausgesetzt wird, werden sie in diesem Kapitel ausführlich
18 beschrieben.
19
20 # Benutzerrechte {#kap-benutzerrechte}
21
22 HSAdmin bietet uns die Möglichkeit, dem Benutzer eine Login-Shell für
23 interaktive Sitzungen zuzuordnen oder genau dies zu verhindern. Wir
24 haben die Wahl zwischen den Kommandointerpretern
25 `bash`{.interpreted-text role="program"}, `csh`{.interpreted-text
26 role="program"}, `ksh`{.interpreted-text role="program"},
27 `tcsh`{.interpreted-text role="program"} oder `zsh`{.interpreted-text
28 role="program"} und den Programmen `false`{.interpreted-text
29 role="program"}, `passwd`{.interpreted-text role="program"} und
30 `scponly`{.interpreted-text role="program"}. Abb.
31 `fig-hsadmin-shell`{.interpreted-text role="numref"} zeigt das
32 entsprechende Menü.
33
34 ::: {#fig-hsadmin-shell}
35 ![Das Auswahlmenü mit den Shell- und
36 Kommando-Interpretern.](../../images/hsadmin-benutzershells.*){width="100.0%"}
37 :::
38
39 /bin/false
40
41 :   Benutzer, denen das Programm `/bin/false`{.interpreted-text
42     role="program"} als Shell zugeordnet wird, können sich nicht in
43     ihrem Account einloggen und eine interaktive Sitzung starten. Diese
44     Einstellung eignet sich für Systembenutzer, die Programme im
45     Webpaket ausführen. sich aber nicht von außen einloggen sollen. Dies
46     können auch Mail-Benutzer sein.
47
48 /bin/bash
49
50 :   Die
51     [Bourne-Again-Shell](https://manpages.debian.org/buster/bash/bash.1.en.html).
52     Auf vielen Linuxsystemen ist dies die Standard-Shell.
53
54 /bin/csh
55
56 :   Die [C-Shell](https://manpages.debian.org/buster/csh/csh.1.en.html).
57
58 /bin/ksh
59
60 :   Die
61     [Korn-Shell](https://manpages.debian.org/buster/ksh/ksh.1.en.html).
62
63 /bin/tcsh
64
65 :   Eine [erweiterte
66     C-Shell](https://manpages.debian.org/buster/tcsh/tcsh.1.en.html).
67
68 /bin/zsh
69
70 :   Die
71     [Z-Shell](https://manpages.debian.org/buster/zsh-common/zsh.1.en.html).
72
73 /usr/bin/passwd
74
75 :   Benutzer, denen das Programm `/usr/bin/passwd`{.interpreted-text
76     role="program"} zugeordnet wird, können beim Versuch, sich mit
77     `ssh`{.interpreted-text role="program"} einzuloggen, ihr Passwort
78     ändern. Eine interaktive Sitzung können sie jedoch nicht starten.
79     Dies ist sinnvoll, um Benutzern ein größeres Maß an Vertraulichkeit
80     ihrer Kommunikation zu ermöglichen. Der Paket-Admin setzt für den
81     E-Mail-Benutzer zwar ein initiales Passwort, der Benutzer kann dies
82     aber sogleich ändern, sodass der Paket-Admin den E-Mail-Verkehr des
83     Benutzers nicht unbemerkt mitlesen kann.
84
85 /usr/bin/scponly
86
87 :   Diese Zuordnung ermöglicht dem Benutzer den Gebrauch der Programme
88     `scp`{.interpreted-text role="program"} und `sftp`{.interpreted-text
89     role="program"}. Eine interaktive Sitzung ist nicht möglich.