Andreas Moor

Linux Systemadministration

useradd und /etc/login.defs: Benutzerverwaltung und Standardwerte und unter Linux verstehen

Inhaltsverzeichnis

Warum dieses Thema wichtig ist

Als angehender RHCSA musst du lokale Benutzerkonten sicher und reproduzierbar anlegen können. Genau hier greifen der Befehl useradd und die Konfigurationsdatei /etc/login.defs ineinander, denn über sie steuerst du sowohl einzelne Accounts als auch die Standardwerte für alle neu angelegten Nutzer.

useradd: Benutzer gezielt anlegen

useradd ist das Standardwerkzeug, um lokale Benutzerkonten auf RHEL anzulegen. Viele Optionen sind prüfungsrelevant, weil du damit UIDs, Home-Verzeichnisse, Shells und Gruppen exakt nach Vorgabe setzen kannst.

Wichtige Optionen im Überblick:

  • useradd NAME : Legt einen neuen lokalen Benutzer mit den Standardwerten aus /etc/login.defs und /etc/default/useradd an.
  • useradd -u UID NAME : Vergibt eine feste Benutzer-ID, z.B. wenn in der Aufgabe eine konkrete UID gefordert ist oder du mit NFS/LDAP konsistent bleiben musst.
  • useradd -g GRUPPE -G GRUPPEN NAME : Setzt die primäre Gruppe (-g) und zusätzliche Gruppen (-G), was wichtig für Dateiberechtigungen und Rollenverteilung ist.
  • useradd -d /pfad/zum/home NAME : Überschreibt den Standard-Pfad für das Home-Verzeichnis, etwa für spezielle Applikationsuser.
  • useradd -s /bin/bash NAME : Legt die Login-Shell fest, z.B. /sbin/nologin für Service-Accounts ohne interaktiven Zugriff.​
  • useradd -e YYYY-MM-DD NAME : Setzt ein Ablaufdatum für den Account, was für zeitlich begrenzte Zugänge (z.B. Praktikanten) relevant ist.
  • useradd -M NAME / useradd -m NAME : Unterdrückt (-M) bzw. erzwingt (-m) das Anlegen eines Home-Verzeichnisses, unabhängig von den Default-Einstellungen.

Beispiel für eine typische RHCSA-Aufgabe:

useradd -u 3001 -g developers -G wheel -d /srv/devandy -m -s /bin/bash -e 2025-12-31 andy
passwd andy

Hier legst du einen Benutzer mit fixer UID, definierter Gruppe, eigenem Home-Verzeichnis, Shell und Ablaufdatum an – alles Punkte, die im Exam gerne kombiniert abgeprüft werden.

login.defs: Standards für neue Nutzer steuern

/etc/login.defs ist die zentrale Datei, über die du Standardwerte für neue Benutzer im System festlegst. Änderungen wirken sich nicht rückwirkend aus, sondern gelten nur für Accounts, die du nach der Anpassung neu mit useradd erzeugst.

Prüfungsrelevante Bereiche:

  • UID-/GID-Bereiche : Mit UID_MIN, UID_MAX, GID_MIN und GID_MAX definierst du den Nummernraum, in dem useradd automatisch Benutzer- bzw. Gruppen-IDs vergibt. So trennst du z.B. System-Accounts von regulären Usern sauber.
  • Passwort-Aging-Parameter : Über diese Werte steuerst du die Standard-Passwortrichtlinien für neue Konten:
    • PASS_MAX_DAYS: Maximale Gültigkeit eines Passworts in Tagen, bevor es geändert werden muss.
    • PASS_MIN_DAYS: Minimale Anzahl an Tagen zwischen Passwortänderungen (Schutz gegen sofortiges „Durchklicken“).
    • PASS_WARN_AGE: Vorwarnzeit in Tagen, bevor ein Passwort abläuft.
  • Mindestlänge von Passwörtern
    PASS_MIN_LEN setzt eine Basisschranke für die Passwortlänge, was simple Passwörter erschweren soll.

Typischer Ablauf für die RHCSA-Perspektive: Du passt login.defs an die vorgegebene Sicherheitspolitik an und legst anschließend mit useradd neue User an, die diese Defaults automatisch erben.

Zusammenspiel: useradd und login.defs

useradd nutzt die in /etc/login.defs definierten Werte, wenn du keine expliziten Optionen angibst. Das betrifft insbesondere UID-/GID-Bereiche, Passwort-Aging und einige Default-Parameter, sodass du mit einem konsistent gepflegten login.defs viel Routinearbeit standardisieren kannst.

Für die RHCSA-Ziele zum User-Management bedeutet das:

  • Du musst lokale Benutzer gezielt nach Vorgabe erstellen können (inkl. UID, Gruppen, Home, Shell, Ablaufdatum).
  • Du musst Standardwerte für neue Benutzer kennen und bei Bedarf in /etc/login.defs anpassen, z.B. um strengere Passwortrichtlinien umzusetzen.
  • Du solltest verstehen, dass Änderungen an login.defs erst für Benutzer wirken, die du danach neu mit useradd erzeugst, bestehende Accounts aber mit Werkzeugen wie chage angepasst werden.

Zusammenfassung

In diesem Beitrag hast du gesehen, wie du mit useradd gezielt Benutzerkonten anlegst und welche Optionen du im RHCSA-Kontext besonders gut beherrschen solltest. Außerdem kennst du jetzt den Zweck von /etc/login.defs und kannst dort UID-/GID-Bereiche sowie Passwort-Aging-Parameter so einstellen, dass neue Benutzer automatisch zu eurer Sicherheitsrichtlinie passen. Für die Prüfung ist vor allem wichtig, dass du das Zusammenspiel beider Komponenten verstehst und unter Zeitdruck reproduzierbare, korrekte Konfigurationen aufsetzen kannst.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Andreas Moor
Andreas Moor
@blog@andreas-moor.de

Hallo Fediverse, ich bin Andy!

Hier und auf meiner Website findest du mein akkumuliertes Linux-Sysadmin-Wissen, meine kleinen und größeren Projekte und die Tools, die ich nutze.

Viel Spaß beim stöbern, lesen und lernen! 🧑‍💻

210 Beiträge
10 Folgende

Weitere Beiträge