Wie fügt man in Ubuntu 24.04 Benutzer hinzu und löscht sie? (Benutzerverwaltung in Ubuntu)

Die Verwaltung von Benutzern ist eine grundlegende Kompetenz für jeden Linux-Systemadministrator. Wenn Sie einen Linux-Server zum ersten Mal einrichten, insbesondere unter Ubuntu, haben Sie in der Regel nur über das Root-Konto Zugriff.

Obwohl der Root-Benutzer Ihnen die volle Kontrolle über das System gewährt, kann dessen Verwendung für alltägliche Aufgaben riskant und potenziell schädlich sein. Es empfiehlt sich daher, einen separaten Nicht-Root-Benutzer für die tägliche Administration anzulegen. Dies hilft, das Risiko versehentlicher systemweiter Änderungen zu begrenzen und erhöht die Sicherheit. Wenn Sie eine Mehrbenutzerumgebung verwalten, sollte jede Person über ein eigenes Konto verfügen, um die Verantwortlichkeit und die Trennung der Berechtigungen zu gewährleisten.

Für Aktionen, die Administratorrechte erfordern, enthält Ubuntu ein Tool namens „sudo“. Mit diesem Befehl können Sie Aufgaben mit erweiterten Berechtigungen ausführen, ohne sich als Root-Benutzer anzumelden. In dieser Anleitung erfahren Sie, wie Sie unter Ubuntu einen neuen Benutzer anlegen, ihm Sudo-Zugriff gewähren und Benutzer sicher entfernen, wenn sie nicht mehr benötigt werden.

Voraussetzungen

Um diesem Tutorial zur Benutzerverwaltung folgen zu können:

• Sie benötigen Zugriff auf einen Server, auf dem Ubuntu 24.04 läuft.
• Stellen Sie sicher, dass Sie Root-Zugriff auf Ihren Server haben und dass eine Firewall ordnungsgemäß konfiguriert ist.

Benutzerverwaltung in Ubuntu 24.04

Benutzer in Ubuntu hinzufügen

Um einen Benutzer im Ubuntu-System anzulegen, können Sie den Befehl `adduser` verwenden. Wenn Sie als Root-Benutzer angemeldet sind, führen Sie Folgendes aus:

$ adduser newuser

Benutzer in Ubuntu anlegen

Wenn Sie ein normales Konto mit sudo-Zugriff verwenden, geben Sie Folgendes ein:

$ sudo adduser newuser

Nach Ausführung des Befehls werden Sie durch einige Einrichtungsschritte geführt:

• Legen Sie ein Passwort für den neuen Benutzer fest und bestätigen Sie es.
• Geben Sie optional weitere Details wie den vollständigen Namen, die Telefonnummer usw. an. Sie können jeden dieser Schritte überspringen, indem Sie die Enter-Taste drücken.
• Bestätigen Sie, dass die eingegebenen Informationen korrekt sind, indem Sie Y eingeben.

Sobald der Vorgang abgeschlossen ist, ist das neue Konto einsatzbereit, und der Benutzer kann sich mit dem soeben festgelegten Passwort anmelden.

Wenn dieser Benutzer administrative Aufgaben ausführen soll, fahre mit dem nächsten Abschnitt fort, um ihm Sudo-Zugriff zu gewähren.

Sudo-Zugriff für einen Benutzer unter Ubuntu gewähren

Wenn ein Benutzer administrative Aufgaben ausführen soll, musst du ihm sudo-Rechte gewähren. Dadurch kann der Benutzer bei Bedarf Befehle als Root-Benutzer ausführen.

Dafür gibt es zwei gängige Methoden:

Methode 1: Den Benutzer zur sudo-Gruppe hinzufügen

Auf Ubuntu-Systemen wie 20.04 und 24.04 erhält jeder Benutzer, der der sudo-Gruppe hinzugefügt wird, automatisch Administratorzugriff.

Aktuelle Gruppen eines Benutzers überprüfen

Um zu sehen, zu welchen Gruppen ein Benutzer gehört, führen Sie folgenden Befehl aus:

$ groups newuser

Standardmäßig gehört der Benutzer nur zu seiner eigenen Gruppe (die denselben Namen wie sein Benutzername trägt).

Benutzer zur sudo-Gruppe hinzufügen

Um sudo-Zugriff zu gewähren, fügen Sie den Benutzer mit folgendem Befehl zur sudo-Gruppe hinzu:

$ sudo usermod -aG sudo newuser

• -aG bedeutet „den Benutzer an die angegebene(n) Gruppe(n) anhängen“.
• Sie müssen diesen Befehl als Benutzer ausführen, der bereits über sudo-Rechte verfügt, oder als root.

Methode 2: Spezifische sudo-Berechtigungen über /etc/sudoers gewähren

Anstelle der Verwendung von Gruppen kannst du Sudo-Berechtigungen direkt zuweisen, indem du die Sudo-Konfigurationsdatei bearbeitest.

Öffne die Sudoers-Datei sicher

Verwende immer den Befehl `visudo`, der Syntaxfehler verhindert und sicherstellt, dass die Datei während der Bearbeitung gesperrt ist.

Als root:

# visudo

Als Benutzer mit Sudo-Rechten:

$ sudo visudo

Ubuntu öffnet diese Datei standardmäßig im Editor nano, der für Anfänger gut geeignet ist.

Füge den Sudo-Eintrag für den Benutzer hinzu

Suchen Sie nach dieser Zeile:

root ALL=(ALL:ALL) ALL

Fügen Sie direkt darunter Folgendes hinzu:

newuser ALL=(ALL:ALL) ALL

Ersetzen Sie „newuser“ durch Ihren tatsächlichen Benutzernamen. Diese Zeile gewährt dem Benutzer volle Sudo-Rechte, ähnlich wie beim Root-Konto.

Drücken Sie Y, um die Änderungen zu speichern, und verlassen Sie das aktuelle Fenster mit Strg + X.

Ihr Benutzer verfügt nun über Administratorrechte. Sie können dies überprüfen, indem Sie zu diesem Benutzer wechseln und einen Sudo-Befehl wie den folgenden ausprobieren:

$ sudo apt update

Lass mich wissen, wenn du eingeschränkte Sudo-Rechte (nur für bestimmte Befehle) zuweisen möchtest.

Sudo-Zugriff für den neuen Benutzer überprüfen

Sobald du Sudo-Rechte gewährt hast, kannst du testen, ob alles korrekt funktioniert.

Wenn du als neuer Benutzer angemeldet bist, kannst du reguläre Befehle wie folgt ausführen:

regular_command

Um denselben Befehl mit Administratorrechten auszuführen, füge einfach „sudo“ am Anfang hinzu:

$ sudo regulärer_Befehl

Sie werden aufgefordert, das Passwort für das aktuelle Benutzerkonto einzugeben (nicht das Root-Passwort). Dadurch wird die Identität des Benutzers bestätigt, bevor erweiterte Zugriffsrechte gewährt werden.

Einen Benutzer unter Ubuntu entfernen

Wenn ein Benutzerkonto nicht mehr benötigt wird, empfiehlt es sich, es zu entfernen, um Ihr System übersichtlich und sicher zu halten.

Benutzer löschen (Dateien behalten)

Um ein Benutzerkonto zu entfernen, aber dessen Dateien (wie das Home-Verzeichnis) zu behalten, führen Sie als Root folgenden Befehl aus:

# deluser newuser

Wenn Sie ein normales Konto mit „sudo“-Rechten verwenden:

$ sudo deluser newuser

Benutzer und dessen Home-Verzeichnis löschen

Wenn Sie den Benutzer zusammen mit seinem Home-Verzeichnis und seinen persönlichen Dateien entfernen möchten:

$ sudo deluser --remove-home newuser

Dadurch wird sichergestellt, dass keine übrig gebliebenen Dateien auf dem System gespeichert bleiben.

Sudo-Berechtigungen bereinigen

Falls dem gelöschten Benutzer manuell Sudo-Zugriff gewährt worden war, solltest du dessen Eintrag auch aus der Datei „sudoers“ entfernen.

Öffne die Datei sicher mit:

$ sudo visudo

Suche nach einer Zeile wie dieser:

newuser ALL=(ALL:ALL) ALL

Lösche diese Zeile, um sicherzustellen, dass zukünftige Benutzer mit demselben Benutzernamen nicht automatisch erweiterte Zugriffsrechte erhalten.

Nicht verwendete Gruppen entfernen

Wenn Sie eine Gruppe speziell für diesen Benutzer erstellt haben und keine anderen Benutzer dazu gehören, können Sie die Gruppe entfernen:

$ sudo delgroup groupname

Dies hilft, Ihre Gruppenliste übersichtlich zu halten und Unordnung bei den Systemberechtigungen zu vermeiden.

Ein Benutzerkonto unter Ubuntu vorübergehend deaktivieren

In Situationen, in denen Sie verhindern möchten, dass ein Benutzer auf das System zugreift, ohne dessen Konto oder Dateien dauerhaft zu entfernen, können Sie das Konto sperren, anstatt es zu löschen. Dies ist nützlich bei vorübergehenden Sperrungen oder inaktiven Benutzern.

Das Passwort des Benutzers sperren

Eine der einfachsten Möglichkeiten, ein Benutzerkonto zu deaktivieren, ist das Sperren des Passworts. Dadurch wird verhindert, dass sich der Benutzer mit seinem Passwort anmeldet, während seine Dateien und Einstellungen erhalten bleiben.

Führen Sie als root folgenden Befehl aus:

# passwd -l Benutzername

Als Benutzer mit Sudo-Rechten verwenden Sie:

$ sudo passwd -l Benutzername

Das -l-Flag sperrt das Passwort, indem es ein Sonderzeichen (z. B. !) an den Anfang des verschlüsselten Passworts in /etc/shadow anhängt, wodurch es unbrauchbar wird.

Entsperren des Passworts

Um die Anmeldung für den Benutzer wieder zu aktivieren und sein ursprüngliches Passwort wiederherzustellen:

$ sudo passwd -u Benutzername

Die -u-Option hebt die Passwortsperre auf und ermöglicht es dem Benutzer, sich wieder mit seinen bisherigen Anmeldedaten anzumelden.

Deaktivieren der Benutzeranmeldung mit einer nicht funktionsfähigen Shell

Eine weitere Möglichkeit, den Zugriff einzuschränken, besteht darin, die Standard-Shell des Benutzers auf eine Shell festzulegen, die keine interaktiven Sitzungen zulässt.

Shell-Zugriff deaktivieren

sudo usermod -s /usr/sbin/nologin Benutzername

Oder:

sudo usermod -s /bin/false Benutzername

Dadurch wird verhindert, dass der Benutzer bei der Anmeldung eine Shell- oder Terminalsitzung öffnen kann.

Ursprüngliche Shell wiederherstellen

Um den Shell-Zugriff wieder zu ermöglichen (in der Regel Bash):

$ sudo usermod -s /bin/bash Benutzername

Sicherheit des Benutzerprofils

Wenn ein neuer Benutzer zu einem Linux-System (wie Ubuntu) hinzugefügt wird, wird sein Home-Verzeichnis unter /home/Benutzername angelegt, wobei die aus /etc/skel kopierten Standardeinstellungen verwendet werden.

Standardmäßig sind diese Verzeichnisse für alle Benutzer lesbar, was sensible Dateien offenlegen könnte, wenn sich mehrere Benutzer den Server teilen.

Zugriff prüfen und einschränken:

So zeigen Sie die aktuellen Berechtigungen an:

$ ls -ld /home/Benutzername

Wenn Sie etwa Folgendes sehen:

drwxr-xr-x

bedeutet dies, dass andere Benutzer auf dieses Verzeichnis zugreifen können. So schränken Sie den Zugriff ein:

$ sudo chmod 0750 /home/Benutzername

Hinweis: Vermeiden Sie die Verwendung von `chmod -R`, da dies die Berechtigungen rekursiv ändert und unbeabsichtigt Dateien im Verzeichnis verändern könnte.

Sichere Standardeinstellungen für zukünftige Benutzer festlegen:

So stellen Sie sicher, dass alle neuen Benutzer-Home-Verzeichnisse mit eingeschränktem Zugriff angelegt werden:

1. Öffnen Sie /etc/adduser.conf

2. Setzen Sie:

DIR_MODE=0750

Dies gewährleistet standardmäßig einen besseren Datenschutz. Sie können die Berechtigungen erneut mit folgendem Befehl überprüfen:

ls -ld /home/username

Nun können nur noch der Benutzer selbst und Systemadministratoren auf das Verzeichnis zugreifen.

Passwortrichtlinien festlegen

Starke Passwörter sind Ihre erste Verteidigungslinie gegen Brute-Force- und Wörterbuchangriffe, insbesondere auf Servern mit Fernzugriff.

Mindestlänge für Passwörter:

Ubuntu verwendet die Datei „common-password“, um Passwortrichtlinien zu steuern.

Um eine Mindestlänge (z. B. 8 Zeichen) durchzusetzen, bearbeiten Sie:

$ sudo nano /etc/pam.d/common-password

Ändern Sie die entsprechende Zeile wie folgt:

minlen=8

Beispiel:

password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=8

Hinweis: Diese Einstellungen gelten nur für Standardbenutzer. Administratoren, die mit `sudo` Benutzer anlegen, können diese Prüfungen umgehen.

Indem Sie diese bewährten Vorgehensweisen befolgen, können Sie die Benutzerzugriffskontrolle Ihres Ubuntu-Servers stärken, Risiken reduzieren und eine bessere Systemhygiene gewährleisten.

Richtlinie zum Passwortablauf mit `chage`

So setzen Sie Richtlinien zum Passwortablauf und zur Passwortänderung durch:

Aktuelle Passworteinstellungen anzeigen:

$ sudo chage -l Benutzername

Hier werden der Zeitpunkt der letzten Passwortänderung, Ablaufdaten und die Gültigkeitsdauer angezeigt.

Passwortregeln interaktiv festlegen:

$ sudo chage Benutzername

Passwort manuell festlegen (Beispiel):

$ sudo chage -E 31.01.2015 -m 5 -M 90 -I 30 -W 14 Benutzername

-E: Ablaufdatum des Kontos

-m: Mindestanzahl an Tagen bis zur Passwortänderung

-M: Maximale Gültigkeitsdauer des Passworts

-I: Anzahl der Tage, nach denen das Konto nach Ablauf des Passworts gesperrt wird

-W: Anzahl der Tage, an denen vor Ablauf des Passworts eine Warnung ausgegeben wird

Sie können die Änderungen überprüfen:

$ sudo chage -l Benutzername

Fazit

Inzwischen sollten Sie ein solides Verständnis dafür haben, wie Sie Benutzerkonten unter Ubuntu 24.04 verwalten. Sie haben gelernt, wie Sie Benutzer anlegen und löschen, sudo-Rechte zuweisen oder entziehen, Benutzergruppen verwalten und Konten durch Sperren vorübergehend deaktivieren.

Eine ordnungsgemäße Benutzerverwaltung ist unerlässlich, um Ihr System sicher, übersichtlich und reibungslos am Laufen zu halten. Mit diesen Kenntnissen können Sie sicherstellen, dass jeder Benutzer nur Zugriff auf das hat, was er benötigt, und so das Risiko versehentlicher oder unbefugter Änderungen verringern.

Wenn Sie sich eingehender mit der Konfiguration von Sudo-Berechtigungen befassen möchten, sollten Sie sich detaillierte Anleitungen zur sicheren und effektiven Bearbeitung der sudoers-Datei ansehen.

Möchten Sie über die Grenzen eines VPS hinaus expandieren? BlueServers bietet leistungsstarke und vollständig anpassbare dedizierte Server, die für Unternehmen konzipiert sind, die erstklassige Leistung und Zuverlässigkeit benötigen. Dank einer vollständig isolierten Umgebung haben Sie die volle Kontrolle über Ihre Ressourcen – keine gemeinsame Nutzung, keine Leistungseinbußen. Jeder Server wird individuell auf Ihre Bedürfnisse zugeschnitten und bietet flexible Optionen für CPU, RAM, Speicherplatz und Betriebssystem.

Profitieren Sie von unbegrenzter Bandbreite – ideal für hohen Datenverkehr und geschäftskritische Workloads. Ganz gleich, ob Ihr Unternehmen in Nordamerika, Europa, Asien oder darüber hinaus tätig ist: Mit BlueServers können Sie dedizierte Infrastruktur aus jedem Land bereitstellen und so weltweit niedrige Latenzzeiten und hohe Verfügbarkeit sicherstellen. Wählen Sie noch heute Ihren Tarif und übernehmen Sie die volle Kontrolle über Ihre Hosting-Umgebung.