- Manager Bedrijfsontwikkeling
- Auteur
Het beheren van gebruikers is een essentiële vaardigheid voor elke Linux-systeembeheerder. Wanneer je voor het eerst een Linux-server installeert, met name op Ubuntu, heb je doorgaans alleen toegang via het root-account.
Hoewel de root-gebruiker je volledige controle over het systeem geeft, kan het gebruik ervan voor dagelijkse taken riskant en mogelijk schadelijk zijn. Het is beter om een aparte, niet-root-gebruiker aan te maken voor het dagelijkse beheer. Dit helpt het risico op onbedoelde systeemwijzigingen te beperken en verhoogt de veiligheid. Als je een omgeving met meerdere gebruikers beheert, moet elke persoon een eigen account hebben om verantwoordelijkheid en scheiding van rechten te waarborgen.
Voor acties waarvoor beheerdersrechten nodig zijn, bevat Ubuntu een tool genaamd sudo. Met dit commando kun je taken met verhoogde rechten uitvoeren zonder in te loggen als de root-gebruiker. In deze handleiding zie je hoe je een nieuwe gebruiker aanmaakt op Ubuntu, deze sudo-toegang verleent en gebruikers veilig verwijdert wanneer ze niet langer nodig zijn.
Om deze tutorial over gebruikersbeheer te kunnen volgen:
Om een gebruiker aan te maken in het Ubuntu-systeem, kun je het adduser-commando gebruiken. Als je bent ingelogd als de root-gebruiker, voer dan het volgende uit:
$ adduser newuserGebruiker aanmaken in Ubuntu
Als u een gewone account gebruikt met sudo-toegang, voer dan het volgende uit:
$ sudo adduser newuserNadat u het commando hebt uitgevoerd, wordt u door een aantal instellingsstappen geleid:
Zodra dit is voltooid, is het nieuwe account klaar voor gebruik en kan de gebruiker inloggen met het wachtwoord dat u zojuist hebt ingesteld.
Als u wilt dat deze gebruiker beheertaken kan uitvoeren, ga dan verder naar de volgende sectie om hem of haar sudo-toegang te verlenen.
Als u wilt dat een gebruiker beheertaken kan uitvoeren, moet u hem of haar sudo-rechten verlenen. Hierdoor kan de gebruiker indien nodig commando’s uitvoeren als root-gebruiker.
Er zijn twee gangbare methoden om dit te doen:
Op Ubuntu-systemen zoals 20.04 en 24.04 krijgt elke gebruiker die aan de sudo-groep wordt toegevoegd automatisch beheerderstoegang.
De huidige groepen van een gebruiker controleren
Om te zien tot welke groepen een gebruiker behoort, voer je het volgende uit:
$ groups newuserStandaard maakt de gebruiker alleen deel uit van zijn eigen groep (die dezelfde naam heeft als zijn gebruikersnaam).
De gebruiker toevoegen aan de sudo-groep
Om sudo-toegang te verlenen, voeg je de gebruiker toe aan de sudo-groep met:
$ sudo usermod -aG sudo newuserIn plaats van groepen te gebruiken, kun je sudo-rechten rechtstreeks toewijzen door het sudo-configuratiebestand te bewerken.
Open het sudoers-bestand op een veilige manier
Gebruik altijd het commando visudo, dat syntaxfouten voorkomt en ervoor zorgt dat het bestand tijdens het bewerken vergrendeld is.
Als root:
# visudoAls gebruiker met sudo-rechten:
$ sudo visudoUbuntu opent dit bestand standaard meestal in de nano-editor, wat beginnersvriendelijk is.
Voeg de sudo-vermelding van de gebruiker toe
Zoek naar deze regel:
root ALL=(ALL:ALL) ALLVoeg daar direct onder toe:
newuser ALL=(ALL:ALL) ALLVervang newuser door je eigen gebruikersnaam. Deze regel geeft de gebruiker volledige sudo-rechten, vergelijkbaar met het root-account.
Druk op Y om de wijzigingen op te slaan en sluit het huidige venster af met Ctrl + X.
Je gebruiker heeft nu beheerdersrechten. Je kunt dit controleren door over te schakelen naar die gebruiker en een sudo-commando uit te voeren, zoals:
$ sudo apt updateLaat het me weten als je beperkte sudo-rechten wilt toekennen (alleen voor specifieke commando’s).
Zodra je sudo-rechten hebt toegekend, kun je testen of alles correct werkt.
Terwijl je bent ingelogd als de nieuwe gebruiker, kun je gewone commando’s normaal uitvoeren, zoals dit:
gewone_opdrachtOm hetzelfde commando met beheerdersrechten uit te voeren, voeg je gewoon ‘sudo’ aan het begin toe:
$ sudo regulier_commandoJe wordt gevraagd het wachtwoord voor het huidige gebruikersaccount in te voeren (niet het root-wachtwoord). Hiermee wordt de identiteit van de gebruiker bevestigd voordat verhoogde toegang wordt verleend.
Als een gebruikersaccount niet langer nodig is, is het een goed idee om het te verwijderen om je systeem overzichtelijk en veilig te houden.
Om een gebruikersaccount te verwijderen maar de bijbehorende bestanden (zoals de thuismap) te behouden, voer je het volgende uit als root:
# deluser newuserAls je een gewone account met sudo-rechten gebruikt:
$ sudo deluser newuserAls je de gebruiker samen met zijn thuismap en persoonlijke bestanden wilt verwijderen:
$ sudo deluser --remove-home newuserDit zorgt ervoor dat er geen overgebleven bestanden op het systeem worden opgeslagen.
Als de verwijderde gebruiker handmatig sudo-toegang had gekregen, moet u ook de vermelding van deze gebruiker uit het sudoers-bestand verwijderen.
Open het bestand veilig met:
$ sudo visudoZoek naar een regel zoals deze:
newuser ALL=(ALL:ALL) ALLVerwijder die regel om ervoor te zorgen dat toekomstige gebruikers met dezelfde gebruikersnaam niet automatisch verhoogde toegang krijgen.
Als je een groep speciaal voor die gebruiker hebt aangemaakt en er geen andere gebruikers deel van uitmaken, kun je de groep verwijderen:
$ sudo delgroup groupnameDit helpt je groepslijst overzichtelijk te houden en vermindert rommel in de systeemrechten.
In situaties waarin je wilt voorkomen dat een gebruiker toegang krijgt tot het systeem zonder zijn account of bestanden permanent te verwijderen, kun je het account vergrendelen in plaats van het te verwijderen. Dit is handig bij tijdelijke schorsingen of inactieve gebruikers.
Een van de eenvoudigste manieren om een gebruikersaccount uit te schakelen, is door het wachtwoord te vergrendelen. Dit voorkomt dat de gebruiker zich met zijn of haar wachtwoord kan aanmelden, terwijl de bestanden en instellingen intact blijven.
Voer als root het volgende uit:
# passwd -l gebruikersnaamGebruik als sudo-gebruiker het volgende:
$ sudo passwd -l gebruikersnaamDe -l-optie vergrendelt het wachtwoord door een speciaal teken (zoals !) toe te voegen aan het begin van het versleutelde wachtwoord in /etc/shadow, waardoor het onbruikbaar wordt.
Om de aanmelding voor de gebruiker weer in te schakelen en het oorspronkelijke wachtwoord te herstellen:
$ sudo passwd -u gebruikersnaamDe -u-optie maakt de wachtwoordvergrendeling ongedaan en stelt de gebruiker in staat om zich opnieuw aan te melden met zijn eerdere inloggegevens.
Inloggen door de gebruiker uitschakelen met een niet-functionele shell
Een andere manier om de toegang te beperken is door de standaard-shell van de gebruiker in te stellen op iets dat geen interactieve sessies toestaat.
sudo usermod -s /usr/sbin/nologin gebruikersnaamOf:
sudo usermod -s /bin/false gebruikersnaamDit voorkomt dat de gebruiker bij het inloggen een shell- of terminalsessie kan openen.
Om shell-toegang weer toe te staan (meestal Bash):
$ sudo usermod -s /bin/bash gebruikersnaamWanneer een nieuwe gebruiker wordt toegevoegd aan een Linux-systeem (zoals Ubuntu), wordt zijn of haar thuismap aangemaakt in /home/gebruikersnaam, waarbij de standaardinstellingen worden gekopieerd uit /etc/skel.
Standaard zijn deze mappen leesbaar voor alle gebruikers, waardoor gevoelige bestanden blootgesteld kunnen raken als meerdere gebruikers de server delen.
Toegang controleren en beperken:
Om de huidige machtigingen te bekijken:
$ ls -ld /home/gebruikersnaamAls u iets ziet als:
drwxr-xr-xbetekent dit dat andere gebruikers toegang hebben tot deze map. Om de toegang te beperken:
$ sudo chmod 0750 /home/gebruikersnaamOpmerking: Vermijd het gebruik van chmod -R, aangezien dit de machtigingen recursief wijzigt en onbedoeld bestanden in de map kan veranderen.
Veilige standaardinstellingen instellen voor toekomstige gebruikers:
Om ervoor te zorgen dat alle nieuwe thuismappen van gebruikers worden aangemaakt met beperkte toegang:
1. Open /etc/adduser.conf
2. Stel in:
DIR_MODE=0750Dit zorgt standaard voor betere privacy. U kunt de machtigingen opnieuw controleren met:
ls -ld /home/gebruikersnaamNu hebben alleen de gebruiker en systeembeheerders toegang tot de map.
Sterke wachtwoorden vormen uw eerste verdedigingslinie tegen brute-force- en woordenboekaanvallen, vooral op servers met externe toegang.
Minimale wachtwoordlengte:
Ubuntu gebruikt het bestand common-password om het wachtwoordbeleid te regelen.
Om een minimale lengte af te dwingen (bijv. 8 tekens), bewerkt u:
$ sudo nano /etc/pam.d/common-passwordPas de betreffende regel aan zodat deze het volgende bevat:
minlen=8Voorbeeld:
password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=8Opmerking: Deze instellingen gelden alleen voor standaardgebruikers. Beheerders die sudo gebruiken om gebruikers aan te maken, kunnen deze controles omzeilen.
Door deze best practices te volgen, kunt u de gebruikerstoegangscontrole van uw Ubuntu-server versterken, risico’s verminderen en zorgen voor een betere systeemhygiëne.
Om het beleid voor het verlopen en wijzigen van wachtwoorden af te dwingen:
Bekijk de huidige wachtwoordinstellingen:
$ sudo chage -l gebruikersnaamHiermee worden de datum waarop het wachtwoord voor het laatst is gewijzigd, de vervaldata en de verouderingsinstellingen weergegeven.
Wachtwoordregels interactief instellen:
$ sudo chage gebruikersnaamWachtwoord handmatig instellen (voorbeeld):
$ sudo chage -E 31-01-2015 -m 5 -M 90 -I 30 -W 14 gebruikersnaam-E: Vervaldatum van het account
-m: Minimaal aantal dagen voordat het wachtwoord moet worden gewijzigd
-M: Maximaal aantal dagen dat het wachtwoord geldig is
-I: Aantal dagen inactiviteit na het verlopen van het wachtwoord voordat het account wordt vergrendeld
-W: Aantal dagen voordat het wachtwoord verloopt waarin een waarschuwing wordt gegeven
U kunt de wijzigingen controleren:
$ sudo chage -l gebruikersnaamU zou nu een goed begrip moeten hebben van het beheer van gebruikersaccounts op Ubuntu 24.04. U hebt geleerd hoe u gebruikers kunt aanmaken en verwijderen, sudo-rechten kunt toekennen of intrekken, gebruikersgroepen kunt beheren en accounts tijdelijk kunt uitschakelen door ze te vergrendelen.
Goed gebruikersbeheer is essentieel om je systeem veilig, georganiseerd en soepel te laten draaien. Met deze vaardigheden kun je ervoor zorgen dat elke gebruiker alleen toegang heeft tot wat hij of zij nodig heeft, waardoor het risico op onbedoelde of ongeautoriseerde wijzigingen wordt verminderd.
Als je je verder wilt verdiepen in het configureren van sudo-rechten, kun je gedetailleerde handleidingen raadplegen over het veilig en effectief bewerken van het sudoers-bestand.
Wilt u verder gaan dan de beperkingen van een VPS? BlueServers biedt krachtige en volledig aanpasbare dedicated servers, ontworpen voor bedrijven die topprestaties en betrouwbaarheid eisen. Dankzij een volledig geïsoleerde omgeving hebt u volledige controle over uw resources – geen gedeeld gebruik, geen prestatieverlies. Elke server wordt afgestemd op uw behoeften, met flexibele opties voor CPU, RAM, opslagruimte en besturingssysteem.
Profiteer van onbeperkte bandbreedte, perfect voor het verwerken van intensief verkeer en bedrijfskritische workloads. Of uw bedrijf nu actief is in Noord-Amerika, Europa, Azië of daarbuiten: met BlueServers kunt u dedicated infrastructuur vanuit elk land implementeren, wat wereldwijd zorgt voor lage latentie en hoge beschikbaarheid. Kies vandaag nog uw pakket en neem de volledige controle over uw hostingomgeving.
Start for free and unlock high-performance infrastructure with instant setup.
Jouw mening helpt ons een betere service te bouwen.