Auf einem Linux-System unterscheidest du typischerweise drei relevante lokale Account-Typen: den root-Account, normale Benutzerkonten und Service-Accounts. Für die RHCSA-Prüfung musst du diese Konten nicht nur erkennen, sondern vor allem korrekt anlegen, ändern und sicher konfigurieren können.
- root-Account: Superuser mit unbegrenzten Rechten (UID 0).
- Normale Benutzerkonten: Menschen, die am System arbeiten.
- Service-Accounts (system/service users): Konten für Dienste und Prozesse.
root – der Superuser
Der root-Account ist der systemweite Superuser mit der Benutzer-ID 0 und hat vollständige Kontrolle über das System, inklusive aller Dateien, Geräte und Konfigurationen. Dieser Account wird bei der Installation automatisch angelegt und sollte möglichst selten direkt genutzt werden, um Fehlbedienungen und Sicherheitsrisiken zu vermeiden.
- Administrative Aufgaben erledigst du idealerweise über
sudomit einem normalen Account, statt dich direkt als root anzumelden. - Der root-Account sollte ein starkes Passwort haben oder über
sudound SSH-Konfiguration so abgesichert sein, dass direkte Logins eingeschränkt sind.
Normale Benutzerkonten
Normale Benutzerkonten sind für menschliche Nutzer gedacht, die sich am System anmelden, Dateien bearbeiten, Skripte ausführen und Anwendungen nutzen. Sie haben standardmäßig nur begrenzte Rechte auf Systemressourcen und können nur ihre eigenen Dateien verändern, sofern ihnen nicht explizit zusätzliche Berechtigungen gewährt werden.
- Jeder normale Benutzer erhält ein Home-Verzeichnis (zum Beispiel
/home/alice) und eine eigene UID, meist im regulären User-Bereich (etwa ab 1000, distributionsabhängig). - Für die RHCSA musst du solche Konten erstellen, ändern, löschen, Passwörter setzen und Passwortalterung konfigurieren.
Service-Accounts (System-/Dienstkonten)
Service-Accounts sind lokale Benutzerkonten, die für Dienste und Hintergrundprozesse verwendet werden, etwa apache, postgres oder sshd. Sie führen typischerweise keine interaktiven Logins aus, sondern dienen dazu, die Ausführung eines Dienstes von anderen Accounts zu trennen und so Sicherheit und Nachvollziehbarkeit zu erhöhen.
- Service-Accounts haben oft UIDs in speziellen Bereichen (System-/Service-Ranges) und häufig eine Login-Shell wie
/sbin/nologinoder/bin/false, damit sich niemand direkt anmeldet. - Viele werden automatisch bei der Paketinstallation erstellt; du solltest erkennen können, welche Accounts Dienstkonten sind, und Dateibesitz sowie Berechtigungen passend setzen.
Unterschiede im Überblick
| Merkmal | root-Account | Normaler Benutzer | Service-Account |
|---|---|---|---|
| Zweck | Vollständige Administration des Systems | Interaktive Nutzung durch Menschen | Betrieb von Diensten und Prozessen |
| UID | Immer 0 | Nicht 0, regulärer User-Bereich | Nicht 0, oft in reservierten Ranges |
| Login | Direktlogin möglich, aber unempfohlen | Interaktiver Login üblich | Meist kein interaktiver Login (nologin) |
| Rechte | Unbeschränkter Zugriff | Begrenzte, anpassbare Rechte | Auf Dienst und benötigte Ressourcen begrenzt |
| RHCSA-Fokus | Superuser-Zugriff, sudo-Konfiguration | Anlegen, ändern, Passwort-Policies | Verständnis, Dateibesitz, Dienstsicherheit |
Zusammenfassung für RHCSA
Für eine saubere und sichere RHEL-Administration ist die Trennung zwischen root, normalen Nutzern und Service-Accounts entscheidend. In der RHCSA-Prüfung wird von dir erwartet, dass du lokale Benutzerkonten und Gruppen verwaltest und privilegierten Zugriff so konfigurierst, dass root möglichst selten direkt benötigt wird. Wenn du bei jeder Aufgabe klar unterscheidest, ob sie zu einem Menschen (normaler User), einem Dienst (Service-Account) oder zur Systemverwaltung (root bzw. sudo) gehört, triffst du automatisch sicherere Entscheidungen und deckst wichtige Exam-Objectives zum User Management ab.
Schreibe einen Kommentar