Linux-Hort: Linux Administration und Rechtekonzept
Wenn eine der großen Linux-Distributionen zusammen mit eine der großen graphischen Oberflächen installiert wurde, so werden bereits graphische Werkzeuge mitgeliefert, die eine Administration erleichtern. Dennoch gibt es immer wieder Anforderungen, bei denen graphischen Werkzeuge unzureichend sind und man etwas mehr Hand anlegen muss.
Artikel von Stephan M.
Die graphischen Werkzeuge zur Administration fragen den Anwender nach seinem Passwort, wenn administrative Operationen durchgeführt werden sollen. Damit stellen sich einige Fragen. Zum Beispiel, was sind administrative Operationen?
Warum brauche ich für eine Einstellung keine speziellen Rechte, für andere aber schon? Um dies zu ergründen geht dieser Artikel auf das Rechtekonzept von Linux ein, gefolgt vom Administrationsansatz. Dabei will dieser Artikel das Grundverständnis für Linux wecken, um Windows-Umsteigern die wahren Unterschiede zwischen Windows und Linux aufzuzeigen. Desweiteren soll ein
Nutzer ansatzweise verstehen, warum in Linux etwas so funktioniert, wie es funktioniert.
Rechtekonzept
Ähnlich dem Windows „Administrator“ gibt es in Linux einen allmächtigen Benutzer, der „root“ genannt wird. Die Allmacht wird dem root-Benutzer durch folgende Fakten übertragen:
* Erstens gehören die Dateien, welche systemweite Konfigurationen enthalten, dem Benutzer root. Andere Benutzer dürfen auf diese Dateien nicht schreibend zugreifen.
* Zweitens kann der root-Benutzer sämtliche Dateien auf dem gesamten System lesen und schreiben, unabhängig von deren Zugriffsrechten
* Drittens darf der root-Benutzer Systemfunktionen aufrufen, die ein anderer Benutzer nicht darf. Diese Systemfunktionen haben üblicherweise Einfluss auf mehrere Benutzer oder die Konfiguration des Gesamtsystems.
Alle anderen Benutzer haben prinzipiell keine speziellen Rechte. Dennoch gibt es in allen Distributionen sogenannte „Systembenutzer“. Dies sind Benutzer, welche Zugriffsrechte auf Dateien haben, deren Lesen oder Schreiben Einfluss auf die Systemkonfigurationen haben können. Es würde den Rahmen dieses Artikels sprengen, wenn hierauf genau einzugehen. Man sollte hierzu nur soviel wissen: es gibt Benutzerkonten, die genauso wie das root-Benutzerkonto zu behandeln sind.
Darüber hinaus kann ein Benutzer einer oder mehreren Gruppen angehören. Diese Gruppen dienen aber nur der besseren Dateizugriffsrechte-Steuerung.
Es gibt einen Grundsatz, den jeder beherzigen sollte: Der root-Benutzer darf nur für Administrationszwecke verwendet werden. Die normale Verwendung des Systems hingegen darf ausschließlich mit einem unprivilegierten, normalen Benutzer erfolgen. Deswegen fordert eine Distribution während der Installation zum Anlegen eines Benutzerkontos auf.
Noch einmal: nie als root-Benutzer einloggen, es sei denn, man weiß genau, was man tut!
Verzeichnisstruktur
Anders als bei Windows werden alle Partitionen, Festplatten, USB-Sticks, CDs und andere Speichergeräte in ein Verzeichnisbaum gespeichert. Es gibt keine „Laufwerksbuchstaben“! Im folgenden werden einige wichtige Verzeichnisse genannt:
– /home enthält die Heimatverzeichnisse der normalen Benutzer. Dabei haben die
Heimatverzeichnisse den gleichen Namen wie der Benutzername. Neben Verzeichnissen für temporäre Dateien ist nur das Heimatverzeichnis für einen Benutzer schreibbar. Alle anderen Verzeichnisse und darin gespeicherte Dateien können maximal gelesen werden, wenn überhaupt. Konfigurationen, die
ausschließlich den Benutzer betreffen, zum Beispiel das Aussehen von Anwendungen oder der graphischen Benutzeroberfläche werden in ASCII Dateien im Heimatverzeichnis gespeichert. Normalerweise werden diese Konfigurationen in „versteckten“ Dateien oder Verzeichnissen abgelegt — versteckte Dateien oder Verzeichnisse haben beliebige Namen, welche aber mit einem Punkt anfangen. Der Punkt am Anfang des Namens ist das Zeichen für versteckte Dateien.
– /etc beinhaltet sämtliche Systemkonfigurationen. Alle Konfigurationsdateien sind ASCII Dateien. Es gibt demnach keine Registry, welche binär abgespeichert wird.
– Anwendungsprogramme werden in /usr/bin oder /bin gespeichert. Zum Beispiel liegt die Anwendung „firefox“ als Datei in /usr/bin/firefox vor.
– Anwendungsprogramme, welche für das Administrieren des Systems verwendet werden, erscheinen üblicherweise in /sbin oder /usr/sbin.
– USB-Sticks, CDs und andere Wechseldatenträger werden dynamisch unter /media oder /run/media eingebunden.
– /proc enthält sehr interessante statistische Systeminformationen (es sind
auch einige schreibbare Dateien vorhanden, die nur zu verändern sind, wenn man weiß, was man tut!) — einfach mal deren Inhalt mittels des Programms „cat“ anschauen. Dieses Verzeichnis ist aber nur etwa für erfahrene Benutzer, da ein Anfänger mit den gebotenen Informationen sicherlich nichts anfangen kann.
System-Administration
Wie bereits genannt werden systemweite Konfigurationen in Linux mit Dateien im Verzeichnis /etc durchgeführt. Einige dieser Dateien können mittels graphischen Hilfsprogrammen verändert werden, die die Administration vereinfachen. Um diese Dateien zu schreiben, verlangt das Hilfsprogramm entweder das Passwort des derzeitigen Benutzers oder verlangt den root Benutzer und dessen Passwort.
Warum reicht es meist aber aus, das eigene Passwort anzugeben?
Bei allen gängigen Distributionen gibt es eine Benutzergruppe, der spezielle Rechte gegeben wurde. Diese Gruppe ist entweder „wheel“ (Fedora, RHEL, Ubuntu, Debian), oder „trusted“ (SUSE). Ein Benutzer, der dieser Gruppe zugeordnet wurde, darf nach Eingabe des eigenen Passworts auf systemweite Konfigurationsdateien schreibend zugreifen. Technisch gesehen erlaubt eines von den drei folgenden Programmen den Zugriff: su, sudo oder PolKit. Wenn das Installationsprogramm während der Installation fragt, ob der neue Benutzer administrative Privilegien haben darf, bedeutet eine Bejahung, dass dieser Benutzer zu der genannten Gruppe hinzugefügt wird.
Wenn neue Benutzer nach der Installation eingerichtet werden, denen administrative Zugriffe erlaubt werden sollen, müssen diese neuen Benutzer zu der genannten Gruppe hinzugefügt werden.
Graphische Hilfsprogramme für die Konfiguration erleichtern dem Einsteiger die Einstellungen. Diese Hilfsprogramme verändern die genannten Konfigurationsdateien. Dennoch erlauben diese graphischen Hilfsmittel niemals die volle Flexibilität, wenn man die Konfigurationsdateien direkt mittels eines
Editors öffnet. Unter Nutzung der oben genannten Programme kann man eine Konfigurationsdatei direkt mit einem Editor verändern. In diesem Falle können ausgefeiltere und genau für den Einsatzzweck bestimmte Konfigurationen erstellt werden.
Man Pages (Hilfsseiten)
Natürlich stellt sich jetzt die Frage, woher man denn weiß, welche Konfigurationen durchgeführt werden können. Alle nötigen Informationen sind immer lokal mit den „Man Pages“ vorrätig. Jede Konfigurationsdatei und jede Kommandozeilen-Anwendung hat eine Man Page, die genau wie die Datei oder Anwendung heißt. Eine Man Page kann auf der Kommandozeile mittels dem Kommando „man
Ein sehr einfaches Beispiel ist die Datei /etc/hosts, welche eine Umsetzung von Namen in statische IP-Adressen durchführen kann. Das Kommando „man hosts“ erklärt nun, wie diese Datei strukturiert ist und wie sie zu verändern ist.
Genauso gibt es für Kommandozeilenprogramme solche Hilfen. Zum Beispiel wird das Programm „ls“, welches eine Verzeichnisauflistung zeigt, mittels „man ls“ dokumentiert.
Des weiteren gibt es Man Pages, die selbst Konzepte des Systems dokumentieren.
Hilfreich sind „man man-pages“ und „man intro“.
Auch die oben genannten Programme, um Systemkonfigurationsdateien zu verändern (su und sudo, PolKit) haben Man Pages, welche erheblich mehr Informationen liefern, als hier beschrieben werden können.
Abschließend muss noch einmal betont werden, dass der root-Benutzer nicht für normale Tätigkeiten zu verwenden ist. Auch sollte sich der Leser nicht vor der Kommandozeile fürchten. Die Dokumentation in Form von Man Pages ist immer mit an Bord. Da die Man Pages auch Referenzen auf andere Man Pages enthalten, die gegebenenfalls weiterführend sind, hat ein Benutzer eine umfangreiche Bibliothek immer parat.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.