4 Gebruikersbeheer

Gebruikers

Linux heeft een gebruikersbeveiliging. Dit wil zeggen dat je bepaalde gebruikers meer rechten kunt toekennen dan andere. Dit kunnen onder andere rechten zijn in verband met systeemadministratie of bestandstoegang.

De root gebruiker is de tegenhanger van de administrator. Deze gebruiker kan alle bestanden lezen, wachtwoorden aanpassen,... (kortweg: alles). Het is afgeraden om als root gebruiker te werken, vooral voor mensen met weinig Linux ervaring (als men iets mis doet, kan men het systeem om zeep helpen). Men kan ook gebruikers aanmaken die geen rechtstreekse toegang hebben tot het systeem (vb: enkel e-mail, inbeltoegang,...).

Een basis kenmerk van Linux zijn de multi-user mogelijkheden. M.a.w. verschillende gebruikers kunnen onafhankelijk van elkaar op hetzelfde Linux systeem werken. Elke gebruiker heeft een gebruikersaccount met een gebruikersnaam en een persoonlijk wachtwoord, nodig om zich aan te melden op het systeem. Elke gebruiker heeft daarenboven zijn eigen Persoonlijke map waar persoonlijke bestanden en instellingen bewaard worden.

Groepen

In een groep kun je één of meerdere gebruikers bij elkaar plaatsen. Je gebruikt dit meestal om personen te groeperen die op bepaalde items dezelfde toegang hebben. In een groep kun je in plaats van gebruikers ook andere groepen plaatsen (al dan niet gecombineerd met gebruikers).

Becoming God

Stel je voor dat je aan het werken bent als een gewone gebruiker en je wil een bewerking uitvoeren als root (enkel indien je het wachtwoord weet natuurlijk). Je kunt je via het netwerk meestal niet aanmelden als root.

Je kunt dan tijdelijk root worden met de opdracht `su`, gevolgd door het wachtwoord van root. Het is aan te raden de opdracht `su -` te gebruiken zodat je ook omgevingsvariabelen van root kunt gebruiken.

Een tweede mogelijkheid is het configureren van sudo. Hiermee kun je voor bepaalde gebruikers de toelating geven om bepaalde programma's te starten als root. De configuratie gebeurt in /etc/sudoers. De gebruiker moet dan zijn opdracht starten als `sudo opdracht`.

Configuratiebestanden

De lijst van alle gebruikers zit in /etc/passwd. Dezelfde lijst met geëncrypteerde wachtwoorden wordt in /etc/shadow bewaard. Het shadow bestand is geen bron van beveiligingslekken omdat het enkel leesbaar is door root (dus andere gebruikers kunnen deze niet lezen) én de wachtwoorden zijn versleuteld met een MD5 hash, DES of Blowfish versleuteling, dit wil zeggen dat een brute force attack (kraken) weinig uithaalt.

Niet alle gebruikers in dit bestand kunnen zich aanmelden!

Aanmaken van gebruikers en groepen

Linux distributies bevatten allerlei hulpmiddelen om dit te doen. Eén voorbeeld is de YaST-gebruikersbeheerder (K menu > Computer > YaST > Beveiliging en gebruikers > Gebruikers- en groepenbeheer).

Gebruikersbeheer

YaST toont een overzicht van alle Lokale gebruikers op het systeem. Gebruik de keuzelijst Filter instellen om alle Systeemgebruikers (vb. root) te zien. Klik op de knop Toevoegen en vul het dialoogvenster in om een nieuwe gebruiker toe te voegen. Bij het toevoegen van de nieuwe lokale gebruiker krijg je soms opmerkingen (meestal i.v.m. veiligheid).

Lees deze opmerkingen en reageer gepast. Nadien kan de nieuwe gebruiker zich aanmelden (inloggen) op het systeem. Het gebruiker-profiel kan fijner ingesteld worden met het tabblad Details bij het aanpassen (knop Bewerken) of aanmaken (knop Toevoegen) van de gebruikergegevens.

De geldigheid van het wachtwoord kan geconfigureerd worden met het tabblad Wachtwoordinstellingen.

Indien de computer bij het opstarten een gebruiker automatisch aanmeldt, wordt bij het aanmaken van een extra gebruiker gevraagd of je de Automatische aanmelding wilt uitschakelen. Vanaf het ogenblik dat meer dan één gebruiker de computer met behulp van het toetsenbord, de muis en de monitor wil gebruiken, schakel je de Automatische aanmelding best uit.

Selecteer een gebruiker uit de lijst en klik op de knop Verwijderen om deze te verwijderen. Bij het verwijderen van een gebruiker kun je zijn (haar) Persoonlijke map eveneens wissen (wat meestal gedaan wordt). Gebruik de Geavanceerde opties om de Wachtwoordversleuteling (DES, MD5 of Blowfish) en Aanmeldingsinstellingen aan te passen. Om een gebruiker te verwijderen mogen, geen programma's (processen) meer werken die door de te verwijderen gebruiker gestart werden. Indien dit toch het geval is, zal YaST weigeren de gebruiker te verwijderen. Dit is eenvoudig op te lossen door de computer te herstarten, zodat je zeker bent dat alle door de te verwijderen gebruiker gestarte processen afgesloten zijn.

Groepenbeheer

YaST toont op het tabblad Groepen een lijst met alle groepen. Om een groep toe te voegen of te wijzigen moet je een Groepsnaam, een Groeps-ID (GID) en de Groepsleden opgeven in het daarvoor bestemde dialoogvenster.

Wanneer je de leden van de groep zichzelf wilt laten identificeren bij het overschakelen naar deze nieuwe groep, dan kun je aan deze groep een wachtwoord toewijzen.

Om een groep te verwijderen, selecteer je de groep in de lijst en klik je op de knop Verwijderen. Groepen kunnen alleen verwijderd worden als ze geen leden meer bevatten.

Wisselen tussen gebruikers.

KDE (Linux) laat je toe met verschillende gebruikers tegelijk op één systeem te werken. Met het K menu > Verlaten > Gebruiker wisselen kun je een extra gebruiker aanmelden. Klik in het dialoogvenster op het pictogram Nieuwe sessie. Je krijgt een Waarschuwing met uitleg over sessies en hoe je ermee kunt werken. Klik op de knop Nieuwe sessie starten. Nu pas krijg je het aanmeldscherm van de computer. Klik op het pictogram van de gebruiker die je wil aanmelden. Typ het wachtwoord van de aan te melden gebruiker gevolgd door <Return>. Omdat ondertussen niemand anders met jouw sessie zou kunnen verder werken, werd de vorige sessie vergrendeld voor je de nieuwe sessie startte. Een vergrendelde sessie kan alleen ontgrendeld worden met het wachtwoord van de eigenaar van die sessie.

Indien al meerdere sessies (schermen) actief zijn, kun je met de toetscombinatie Ctrl-Alt-F7 voor sessie 0, Ctrl-Alt-F8 voor sessie 1, enz. overschakelen. Bij het overschakelen naar een vergrendelde sessie, zul je enkel de schermbeveiling zien. Deze schermbeveiliging kan enkel uitgeschakeld worden indien je het wachtwoord van de gebruiker van de sessie kent.

Je kan een sessie beëindigen met K menu > Verlaten> Afmelden. De sessie wordt dan beëindigd en de vorige sessie wordt terug actief. Bij het beëindigen van de laatste sessie krijg je het Aanmeldscherm.

Dit systeem heeft het voordeel dat verschillende gebruikers tegelijkertijd op het systeem kunnen werken, zonder elkaar te storen (ook via Internet - thuiswerken). Vanzelfsprekend gebruikt elke sessie een deel van de mogelijkheden van het systeem, m.a.w. hoe meer sessies gestart worden, hoe trager het systeem werkt.

Programma's uitvoeren onder een andere gebruiker.

Het vorige systeem is uitstekend voor krachtige systemen waarop verschillende gebruikers tegelijkertijd werken. Op kleinere systemen werkt meestal maar één persoon. Deze persoon werkt om veiligheidsredenen steeds als een gebruiker met beperkte rechten. Om bepaalde opdrachten te kunnen uitvoeren heeft deze persoon echter meer rechten nodig. Zonder de veiligheid te compromitteren kan deze persoon de opdracht uitvoeren met de rechten van een andere gebruiker met meer rechten.

Een programma eenmalig uitvoeren:

Druk de toetscombinatie Alt+F2 en typ het gewenste programma voorafgegaan door kdesu -u gebruiker in het tekstvak in. Als je -u gebruiker weglaat, wordt standaard de gebruiker root genomen. Druk Return en geef het wachtwoord van de uitvoerende gebruiker op.

In een terminal gebruik je een gelijkaardige methode: sudo -u gebruiker opdracht

(een praktisch voorbeeld: sudo -u dany killall -i -u dany stopt alle processen die door de gebruiker dany gestart werden. Door het argument -i moet je alle te beëindigen processen bevestigen). Ook hier wordt bij het niet opgeven van een gebruiker standaard de gebruiker root genomen.

Koppeling naar programma:

Bij het aanmaken van een Koppeling naar programma (pagina 35) kun je op het tabblad Toepassing via de knop Geavanceerde opties de optie Uitvoeren als een andere gebruiker aanvinken. In dit geval moet alleen de Gebruikersnaam waaronder je de opdracht wilt laten uitvoeren opgegeven worden. Telkens een gebruiker op de koppeling klikt om de toepassing te starten, zal deze het wachtwoord van de opgegeven gebruiker moeten intypen.

Opdrachten

1. Maak een nieuwe gebruiker. Haar naam is Mies Slim. Haar wachtwoord is

   1. Welk UID kreeg Mies Slim?

   2. Tot welke groepen behoort Mies Slim?

   3. Bevestig het aanmaken van de nieuwe gebruiker en schakel de automatische aanmeldoptie uit.

   4. Bevestig de aanpassingen in het Gebruikerbeheer.

   5. Sluit alle vensters.

2. Meld u aan als Mies Slim.

   1. Sluit het openSUSE venster.

3. Mies Slim is de huidige Bureaublad-achtergrond beu en past deze als volgt aan:

   1. Klik rechts op het Bureaublad en kies de opdracht Bureaublad instellen.

   2. Gebruik als Achtergrondafbeelding stripes (blauw).

   3. Bevestig de nieuwe achtergrond.

4. De lievelingssite van Mies Slim is http://linux.pindanet.be.

   1. Start Firefox.

   2. Surf naar http://linux.pindanet.be .

   3. Kies de menuopdracht Bewerken > Voorkeuren.

   4. Klik in de categorie Algemeen op de knop Huidige pagina gebruiken om als Startpagina http://linux.pindanet.be te gebruiken.

   5. Bevestig de Firefox-voorkeuren.

   6. Sluit Firefox.

   7. Meld de sessie van Mies Slim af.

5. Zorg ervoor dat je terug als gebruiker sntcursist werkt.

   1. Is er iets te merken van de keuze van Bureaublad-achtergrond van Mies?

   2. Start Firefox. Op welke site kom je terecht?

   3. Start het programma firefox op onder Mies Slim.

      1. Op welke site kom je terecht?

   4. Maak in de Bureaubladmap van sntcursist een Koppeling naar programma... met als

      naam: Persoonlijke map van Mies Slim,

      commando: konqueror /home/mies

      en uitvoerende gebruiker Mies Slim.

   5. Pas het pictogram van de koppeling aan naar user-home uit de groep Plaatsen.

   6. Start deze koppeling.

   7. Open de map Bureaublad.

      1. Zie je de koppeling Persoonlijke map van Mies Slim hier staan?

Conclusie: Elke gebruiker gebruikt instellingen en bestanden.

1. Sluit alle vensters.

1. Maak een nieuwe groep met als naam slim, zonder wachtwoord en met enig lid Mies Slim.

   1. Welk Groeps-ID kreeg de groep?

   2. Bevestig de aanpassingen in het Groepsbeheer.

2. Open de Persoonlijke map van sntcursist.

   1. Maak een nieuw tekstbestand met als naam: Tekst van gebruiker sntcursist.

   2. Open deze tekst met KWrite en typ: Getypt door gebruiker sntcursist.

   3. Sla deze tekst op en sluit KWrite.

3. Meld je aan als Mies Slim.

   1. Open de Persoonlijke map. Hoeveel bestanden staan in deze map?

   2. In welke map staat de tekst “Tekst van gebruiker sntcursist”? /home/

   3. Open de tekst “Tekst van gebruiker sntcursist” met KWrite en typ:

      Getypt door gebruiker Mies Slim.

   4. Sla deze aangepaste tekst op. Welke melding krijg je?

   5. Sluit KWrite zonder de aangepaste tekst op te slaan.

Conclusie: Verschillende gebruikers kunnen elkaars documenten .......... maar niet ...............

1. Sluit alle vensters.

1. Je gaat je tekst op de volgende manier strenger beveiligen:

   1. Wissel naar de reeds aangemelde gebruiker sntcursist.

   2. Klik rechts op de 'Tekst van gebruiker sntcursist' in de Persoonlijke map en kies de opdracht Eigenschappen.

      1. Pas de Toegangsrechten aan zodat alleen nog de Eigenaar en de Groep de tekst kunnen lezen.

      2. Bevestig de aanpassingen.

   3. Sluit alle vensters.

   4. Wissel naar de reeds aangemelde gebruiker Mies Slim.

   5. Open de Persoonlijke map van gebruiker sntcursist.

   6. Kun je de tekst 'Tekst van gebruiker sntcursist' lezen?

      De reden daarvoor vinden we in de volgende opdrachten.

2. Start het Gebruikersbeheer in YaST.

   1. Wijzig de Details van Mies Slim als volgt:

      1. Mies Slim is eveneens lid van de groep Users (dezelfde groep als gebruiker sntcursist).

         Zorg ervoor dat Mies Slim geen lid is van de groep users en gebruik als Standaardgroep voor Mies Slim de groep slim.

      2. Bevestig deze aanpassingen.

   2. Sluit alle vensters.

   3. Meld de sessie van Mies Slim af en meld je opnieuw aan als Mies Slim om de veranderingen te activeren.

3. Open terug de Persoonlijke map van gebruiker sntcursist.

   1. Kun je de tekst 'Tekst van gebruiker sntcursist' nog lezen?

   2. Activeer het tabblad Toegangsrechten van de Eigenschappen van de tekst 'Tekst van gebruiker sntcursist'.

      1. Tot welke Gebruiker en Groep behoort deze tekst?

      2. Behoort Mies Slim tot deze groep?

      3. Welk Toegangsrecht belet Mies Slim deze tekst te lezen?

Conclusie: De combinatie van gebruiker, ........................ en .......................... bepalen of je een bestand kunt gebruiken of niet.

12. Start het gebruikersbeheer van YaST.

    1. Verwijder de gebruiker Mies Slim (inclusief haar Persoonlijke map).

    2. Activeer het groepsbeheer.

    3. Verwijder de groep slim.

    4. Herstel het Automatisch aanmelden van de gebruiker sntcursist.

    5. Bevestig de aanpassingen in het gebruikers- en groepsbeheer.

13. Open het bestand waarin de gebruikers bewaard worden. Elke regel in dit bestand toont één gebruiker.

14. Start het gebruikersbeheer van YaST en vergelijk de gegevens (Bewerken > Gebruikersgegevens en Details) van gebruiker sntcursist met de regel in het geopende bestand.

15. Vul de betekenis van de volgende onderdelen (gescheiden door een dubbel punt) in de regel aan:

    1. sntcursist:

    2. x: gecodeerde wachtwoord

    3. 1000:

    4. 100: Groeps-ID

    5. SNT cursist:

    6. /home/sntcursist:

    7. /bin/bash: het programma dat door deze gebruiker als terminal gebruikt wordt.

16. Sluit het gebruikers-bestand en YaST.

17. Open het wachtwoorden-bestand.

    1. Beschrijf kort hoe je dit bestand kunt openen.

    2. Noteer de laatste 5 tekens van het gecodeerde wachtwoord van gebruiker sntcursist:

    3. Sluit het bestand zonder de eventuele veranderingen op te slaan.