Traditionell handelt es sich bei der Linux-Shell um Bash (Bourne again Shell). Wenn in diesem Kapitel die Rede von „der Shell“ ist, ist die Bash-Shell gemeint. Außer Bash sind noch weitere Shells verfügbar (ash, csh, ksh, zsh und viele mehr), von denen jede unterschiedliche Funktionen und Merkmale aufweist. Wenn Sie weitere Informationen über andere Shells wünschen, suchen Sie in YaST nach shell.

> sort -t: -k 7 /etc/passwd | awk -F: '{print $1"\t" $7}' | column -t
tux               /bin/bash
nobody            /bin/bash
root              /bin/bash
avahi             /bin/false
chrony            /bin/false
dhcpd             /bin/false
dnsmasq           /bin/false
ftpsecure         /bin/false
lightdm           /bin/false
mysql             /bin/false
postfix           /bin/false
rtkit             /bin/false
sshd              /bin/false
tftp              /bin/false
unbound           /bin/false
bin               /sbin/nologin
daemon            /sbin/nologin
ftp               /sbin/nologin
lp                /sbin/nologin
mail              /sbin/nologin
man               /sbin/nologin
nscd              /sbin/nologin
polkitd           /sbin/nologin
pulse             /sbin/nologin
qemu              /sbin/nologin
radvd             /sbin/nologin
rpc               /sbin/nologin
statd             /sbin/nologin
svn               /sbin/nologin
systemd-coredump  /sbin/nologin
systemd-network   /sbin/nologin
systemd-timesync  /sbin/nologin
usbmux            /sbin/nologin
vnc               /sbin/nologin
wwwrun            /sbin/nologin
messagebus        /usr/bin/false
scard             /usr/sbin/nologin

Shell-Skripte bieten eine bequeme Möglichkeit, die verschiedensten Aufgaben zu erledigen: Erfassen von Daten, Suche nach einem Wort oder Begriff in einem Text und andere nützliche Dinge. Das folgende Beispiel zeigt ein kleines Shell-Skript, das einen Text druckt:

#!/bin/sh 1
# Output the following line: 2
echo "Hello World" 3

Vor Ausführung dieses Skripts sind einige Voraussetzungen zu erfüllen:

Wenn Sie alle oben genannten Voraussetzungen erfüllt haben, können Sie das Skript mithilfe der folgenden Methoden ausführen:

Jedes Kommando kann drei Kanäle für Eingabe oder Ausgabe verwenden:

Zum Umlenken dieser Kanäle bestehen folgende Möglichkeiten:

Jeder Kanal verfügt über einen Dateideskriptor: 0 (Null) für Standardeingabe, 1 für Standardausgabe und 2 für Standardfehler. Es ist zulässig, diesen Dateideskriptor vor einem <- oder >-Zeichen einzufügen. Beispielsweise sucht die folgende Zeile nach einer Datei, die mit foo beginnt, aber seine Fehlermeldungen durch Umlenkung zu /dev/null unterdrückt:

> find / -name "foo*" 2>/dev/null

Ein Alias ist ein Definitionskürzel für einen oder mehrere Kommandos. Die Syntax für einen Alias lautet:

alias NAME=DEFINITION

Beispielsweise definiert die folgende Zeile den Alias lt, der eine lange Liste ausgibt (Option -l), sie nach Änderungszeit sortiert (-t) und sie in umgekehrter Reihenfolge sortiert ausgibt (-r):

> alias lt='ls -ltr'

Zur Anzeige aller Aliasdefinitionen verwenden Sie alias. Entfernen Sie den Alias mit unalias und dem entsprechenden Aliasnamen.

Eine Shell-Variable kann global oder lokal sein. Auf globale Variablen, z. B. Umgebungsvariablen, kann in allen Shells zugegriffen werden. Lokale Variablen sind hingegen nur in der aktuellen Shell sichtbar.

Verwenden Sie zur Anzeige von allen Umgebungsvariablen das Kommando printenv. Wenn Sie den Wert einer Variable kennen müssen, fügen Sie den Namen Ihrer Variablen als ein Argument ein:

> printenv PATH

Eine Variable (global oder lokal) kann auch mit echo angezeigt werden:

> echo $PATH

Verwenden Sie zum Festlegen einer lokalen Variablen einen Variablennamen, gefolgt vom Gleichheitszeichen und dem Wert für den Namen:

> PROJECT="SLED"

Geben Sie keine Leerzeichen um das Gleichheitszeichen ein, sonst erhalten Sie einen Fehler. Verwenden Sie zum Setzen einer Umgebungsvariablen export:

> export NAME="tux"

Zum Entfernen einer Variable verwenden Sie unset:

> unset NAME

Die folgende Tabelle enthält einige häufige Umgebungsvariablen, die Sie in Ihren Shell-Skripten verwenden können:

> foo.sh "Tux Penguin" 2000

#!/bin/sh
echo \"$1\" \"$2\" \"$3\" \"$4\"

"Tux Penguin" "2000" "" ""

In Shells können Sie Kommandos für die bedingte Ausführung verketten und gruppieren. Jedes Kommando übergibt einen Endcode, der den Erfolg oder Misserfolg seiner Ausführung bestimmt. Wenn er 0 (Null) lautet, war das Kommando erfolgreich, alle anderen Codes bezeichnen einen Fehler, der spezifisch für das Kommando ist.

Die folgende Liste zeigt, wie sich Kommandos gruppieren lassen:

Zur Steuerung des Ablaufs Ihres Skripts verfügt eine Shell über while-, if-, for- und case-Konstrukte.

if test $USER = "tux"; then
  echo "Hello Tux."
else
  echo "You are not Tux."
fi

if test -e /tmp/foo.txt ; then
  echo "Found foo.txt"
fi

if [ -e /tmp/foo.txt ] ; then
  echo "Found foo.txt"
fi

for i in *.png; do
 ls -l $i
done

Wichtige Informationen über die Bash-Shell finden Sie auf den man-Seiten zu man bash. Für weitere Informationen zu diesem Thema siehe die folgende Liste:

Im folgenden Kapitel wird die grundlegende Verwendung von sudo vorgestellt.

2.1.1 Ausführung eines einzelnen Kommandos #

 

Als normaler Benutzer können Sie alle Kommandos als root ausführen, indem Sie sudo vor das Kommando setzen. Dadurch werden Sie aufgefordert, das root-Passwort anzugeben. Bei erfolgreicher Authentifizierung wird daraufhin das Kommando als root ausgeführt:

> id -un1
tux
> sudo id -un
root's password:2
root
> id -un
tux3
> sudo id -un
4
root

1	Das Kommando id -un druckt den Anmeldenamen des aktuellen Benutzers.
2	Das Passwort wird bei der Eingabe weder als Klartext noch durch maskierende Zeichen angezeigt.
3	Nur Kommandos, die mit sudo beginnen, werden mit höheren Rechten ausgeführt.
4	Die erhöhten Rechte bleiben für bestimmte Zeit erhalten, sodass Sie das root-Passwort nicht erneut eingeben müssen. erneut angeben müssen.

Tipp: E/A-Umleitung

Die E/A-Umleitung funktioniert nicht mit sudo:

> sudo echo s > /proc/sysrq-trigger
bash: /proc/sysrq-trigger: Permission denied
> sudo cat < /proc/1/maps
bash: /proc/1/maps: Permission denied

Im oben genannten Beispiel werden nur die Kommandos echo und cat mit erhöhten Rechten ausgeführt. Die Umleitung wird von der Shell des Benutzers mit Benutzerrechten ausgeführt. Für eine Umleitung mit erhöhten Rechten müssen Sie eine Shell starten wie in Abschnitt 2.1.2, „Starten einer Shell“ beschrieben oder das dd-Dienstprogramm verwenden:

echo s | sudo dd of=/proc/sysrq-trigger
sudo dd if=/proc/1/maps | cat

2.1.2 Starten einer Shell #

 

Es ist nicht immer praktisch, sudo jedes mal zur Ausführung eines Kommandos mit erhöhten Rechten zu verwenden. Sie können zwar das Kommando sudo bash verwenden, doch zum Starten einer Shell empfiehlt sich die Verwendung einer der integrierten Methoden:

sudo -s (<Kommando>)

Startet eine von der UmgebungsvariablenSHELL angegebene Shell oder die Standard-Shell des Zielbenutzers. Falls ein Kommando angegeben ist, wird es (mit der Option -c) an die Shell übergeben. Andernfalls wird die Shell im interaktiven Modus ausgeführt.

tux:~ > sudo -s
root's password:
root:/home/tux # exit
tux:~ > 

sudo -i (<Kommando>)

Ähnlich wie -s, doch die Shell wird als Anmeldungs-Shell gestartet. Das bedeutet, dass die Startdateien der Shell (.profile usw.) verarbeitet werden und das aktuelle Arbeitsverzeichnis auf das Home-Verzeichnis des Zielbenutzers festgelegt wird.

tux:~ > sudo -i
root's password:
root:~ # exit
tux:~ > 

Tipp: Umgebungsvariablen

Standardmäßig gibt sudo keine Umgebungsvariablen weiter. Dieses Verhalten kann mit der Option env_reset geändert werden (weitere Informationen finden Sie unter Hilfreiche Flags und Optionen).

sudo umfasst eine breite Palette an konfigurierbaren Optionen.

Anmerkung: Versehentliches Aussperren aus sudo

Wenn Sie sich versehentlich aus sudo ausgesperrt haben, starten Sie mit su - und dem root-Passwort eine root-Shell. Beheben Sie den Fehler mit visudo.

2.2.1 Bearbeiten der Konfigurationsdateien #

 

Die Hauptkonfigurationsdatei mit den Richtlinien für sudo ist /etc/sudoers. Da es möglich ist, sich selbst aus dem System auszusperren, wenn die Datei nicht gut erstellt ist, wird dringend empfohlen, visudo zum Bearbeiten zu verwenden. Es verhindert Bearbeitungskonflikte und prüft auf Syntaxfehler, bevor die Änderungen gespeichert werden.

Sie können statt visudo auch einen anderen Editor verwenden. Legen Sie dazu die Umgebungsvariable EDITOR fest, wie zum Beispiel:

sudo EDITOR=/usr/bin/nano visudo

Denken Sie daran, dass die Datei /etc/sudoers von den Systempaketen bereitgestellt wird und direkt in der Datei vorgenommene Änderungen möglicherweise Aktualisierungen beschädigen. Daher wird empfohlen, benutzerdefinierte Konfigurationen in Dateien im Verzeichnis /etc/sudoers.d/ abzulegen. Erstellen oder bearbeiten Sie eine Datei mit folgendem Kommando:

sudo visudo -f /etc/sudoers.d/NAME

Mit folgendem Kommando wird die Datei geöffnet und ein anderer Editor verwendet (in diesem Fall nano):

sudo EDITOR=/usr/bin/nano visudo -f /etc/sudoers.d/NAME

Anmerkung: Ignorierte Dateien in /etc/sudoers.d

Die Anweisung #includedir in /etc/sudoers ignoriert Dateien, die auf das Zeichen ~ (Tilde) enden oder das Zeichen. (Punkt) enthalten.

Führen Sie man 8 visudo aus, um weitere Informationen zum Kommando visudo zu erhalten.

# Everything on a line after # is ignored 1
Defaults !insults # Disable the insults flag 2
Defaults env_keep += "DISPLAY HOME" # Add DISPLAY and HOME to env_keep
tux ALL = NOPASSWD: /usr/bin/frobnicate, PASSWD: /usr/bin/journalctl 3

2.2.3 Grundlegende sudoers-Regeln #

 

Jede Regel befolgt folgendes Schema ([] markiert optionale Teile):

#Who      Where         As whom      Tag                What
User_List Host_List = [(User_List)] [NOPASSWD:|PASSWD:] Cmnd_List

sudoers-Regelsyntax #

 

User_List

Eine oder mehrere (durch Komma getrennte) Kennungen: Entweder ein Benutzername, eine Gruppe im Format %GROUPNAME oder eine Benutzer-ID im Format #UID. Eine Negierung wird mit dem Präfix ! Präfix.

Host_List

Eine oder mehrere (durch Komma getrennte) Kennungen: Entweder ein (vollständig qualifizierter) Hostname oder eine IP-Adresse. Eine Negierung wird mit dem Präfix ! Präfix. ALL ist eine häufige Wahl für Host_List.

NOPASSWD:|PASSWD:

Der Benutzer wird nicht aufgefordert, ein Passwort einzugeben, wenn Kommandos ausgeführt werden, die Cmd_List nach NOPASSWD: entsprechen.

PASSWD ist der Standard. Es muss nur angegeben werden, wenn sich sowohl PASSWD als auch NOPASSWD auf derselben Zeile befinden:

tux ALL = PASSWD: /usr/bin/foo, NOPASSWD: /usr/bin/bar

Cmnd_List

Einer oder mehrere (durch Komma getrennte) Bezeichner: Ein Pfad zu einer ausführbaren Datei, gefolgt von einem optionalen zulässigen Argument.

/usr/bin/foo     # Anything allowed
/usr/bin/foo bar # Only "/usr/bin/foo bar" allowed
/usr/bin/foo ""  # No arguments allowed

ALL kann als User_List, Host_List und Cmnd_List verwendet werden.

Eine Regel, die es tux erlaubt, alle Kommandos als „root“ ohne Eingabe des Passworts auszuführen:

tux ALL = NOPASSWD: ALL

Eine Regel, die es tux erlaubt, systemctl restart apache2 auszuführen:

tux ALL = /usr/bin/systemctl restart apache2

Eine Regel, die es tux erlaubt, wall als admin ohne Argumente auszuführen:

tux ALL = (admin) /usr/bin/wall ""

Warnung: Unsichere Regeln

Verwenden Sie keine Regeln wie ALL ALL = ALL ohne Defaults targetpw. Andernfalls kann jeder Benutzer Kommandos als root ausführen.

Wichtig: Winbind und sudo

Wenn Sie den Gruppennamen in der Datei sudoers angeben, verwenden Sie den NetBIOS-Domänennamen statt des Bereichs, beispielsweise:

%DOMAIN\\GROUP_NAME ALL = (ALL) ALL

Denken Sie bei winbindd daran, dass das Format auch von der Option winbind separator in der Datei smb.conf abhängt. Die Standardeinstellung ist \. Wird sie beispielsweise in + geändert, muss das Kontoformat in der Datei sudoers entsprechend DOMAIN+GROUP_NAME lauten.

Die Standardkonfiguration funktioniert bei standardmäßigen Verwendungsszenarien, lässt sich jedoch für spezifische Bedürfnisse anpassen.

2.3.2 Verwenden von sudo mit X.Org-Anwendungen #

 

Werden grafische Anwendungen mit sudo gestartet, führt dies normalerweise zu folgendem Fehler:

> sudo xterm
xterm: Xt error: Can't open display: %s
xterm: DISPLAY is not set

Eine einfache Behelfslösung ist xhost. Damit wird dem root-Benutzer vorübergehend der Zugriff auf die X-Sitzung des lokalen Benutzers gestattet. Dies erfolgt mit folgendem Kommando:

xhost si:localuser:root

Folgendes Kommando entfernt den gewährten Zugriff:

xhost -si:localuser:root

Warnung: Potenzielles Sicherheitsproblem

Die Ausführung grafischer Anwendungen mit root-Rechten beeinträchtigt die Sicherheit. Es wird empfohlen, den root-Zugriff für eine grafische Anwendung nur in Ausnahmefällen zu aktivieren. Außerdem sollte der gewährte root-Zugriff sofort nach Schließen der grafischen Anwendung entzogen werden.

Das Kommando sudo --help gibt einen kurzen Überblick über die verfügbaren Kommandozeilenoptionen und das Kommando man sudoers detaillierte Informationen über sudoers und dessen Konfiguration.

YaST verfügt über zwei grafische Oberflächen. Die eine wird für grafische Desktop-Umgebungen wie KDE und GNOME verwendet. Die andere ist eine ncurses-basierte pseudo-grafische Oberfläche für Systeme ohne X-Server (weitere Informationen hierzu finden Sie in Kapitel 4, YaST im Textmodus).

In der grafischen Version von YaST sind alle Module in YaST nach Kategorie gruppiert. Über die Navigationsleiste erhalten Sie schnell Zugriff auf die Module in der gewünschten Kategorie. Im Suchfeld am oberen Rand lassen sich Module nach Namen suchen. Geben Sie zur Suche nach einem bestimmten Modul dessen Namen im Suchfeld ein. Danach sollten Sie beim Tippen die Module sehen, die der eingegebenen Zeichenfolge entsprechen.

Die grafische Version von YaST unterstützt Tastenkombinationen.

Bei der folgenden Beschreibung der Steuerelemente in den YaST-Modulen wird davon ausgegangen, dass alle Kombinationen aus Funktionstasten und Alt-Taste funktionieren und nicht anderen globalen Funktionen zugewiesen sind. In Abschnitt 4.3, „Einschränkung der Tastenkombinationen“ finden Sie Informationen zu möglichen Ausnahmen.

Abbildung 4.2: Das Software-Installationsmodul #

 

Die ncurses-basierte Version von YaST bietet einige erweiterte Tastenkombinationen.

Wenn der Fenster-Manager globale Alt-Kombinationen verwendet, funktionieren die Alt-Kombinationen in YaST möglicherweise nicht. Tasten wie Alt oder Umschalttaste können auch durch die Einstellungen des Terminals belegt sein.

Neben der Schnittstelle im Textmodus bietet YaST auch eine Kommandozeilenschnittstelle. Rufen Sie eine Liste der YaST-Kommandozeilenoptionen mit folgendem Kommando ab:

> sudo yast -h

> sudo yast -i package_name

> sudo yast --install -i package_name

> sudo yast module_name

> sudo yast module_name help

This YaST module does not support the command line interface.

 > sudo yast add-on http://server.name/directory/Lang-AddOn-CD1/

> sudo yast mail summary

Abhängig davon, wie Sie Ihren Desktop nutzen und ob Sie das ganze System oder nur die Desktop-Umgebung in eine andere Sprache umschalten möchten, stehen mehrere Möglichkeiten zur Auswahl:

5.1.1 Bearbeiten von Systemsprachen mit YaST #

 

YaST bietet zwei verschiedene Sprachkategorien:

Primärsprache

Die in YaST festgelegte primäre Sprache gilt für das gesamte System, einschließlich YaST und der Desktop-Umgebung. Diese Sprache wird immer benutzt, wenn sie verfügbar ist, es sei denn, Sie legen manuell eine andere Sprache fest.

Sekundäre Sprachen

Installieren Sie sekundäre Sprachen, um Ihr System mehrsprachig zu machen. Als sekundäre Sprachen installierte Sprachen können in bestimmten Situationen manuell ausgewählt werden. Verwenden Sie beispielsweise eine sekundäre Sprache, um eine Anwendung in einer bestimmten Sprache zu starten und Texte in dieser Sprache zu verarbeiten.

Legen Sie vor der Installation weiterer Sprachen fest, welche dieser Sprachen als Standard-Systemsprache (primäre Sprache) fungieren soll.

Starten Sie YaST, um auf das YaST-Sprachmodul zuzugreifen, und klicken Sie auf System › Sprache. Starten Sie alternativ das Dialogfeld Sprachen direkt, indem Sie sudo yast2 language & von einer Kommandozeile aus ausführen.

Vorgehen 5.1: Installieren von zusätzlichen Sprachen #

 

Wenn Sie weitere Sprachen installieren, können Sie mit YaST auch verschiedene Locale-Einstellungen für den root-Benutzer festlegen; Informationen hierzu finden Sie in Schritt 4. Mit der Option Locale-Einstellungen für den Benutzer wird festgelegt, wie die Locale-Variablen (LC_*) in der Datei /etc/sysconfig/language für root festgelegt werden. Diese Elemente können Sie auf dieselbe Locale wie bei normalen Benutzern einstellen. Alternativ können Sie angeben, dass eine Änderung der Sprache keine Auswirkungen haben soll, oder lediglich die Variable RC_LC_CTYPE auf dieselben Werte wie für normale Benutzer einstellen. Die Variable RC_LC_CTYPE bestimmt die Lokalisierung für sprachspezifische Funktionsaufrufe.

1. Wählen Sie zum Hinzufügen von Sprachen im YaST-Modul Sekundäre Sprachen, die installiert werden sollen.

2. Um eine Sprache als Standardsprache einzurichten, müssen Sie sie als Primäre Sprache festlegen.

3. Passen Sie außerdem die Tastatur an die neue primäre Sprache an und stellen Sie eventuell eine andere Zeitzone ein.

   

   Tipp: Erweiterte Einstellungen

   Wählen Sie in YaST für erweiterte Tastatur- oder Zeitzoneneinstellungen die Optionen Hardware › Tastaturbelegung oder System › Datum und Uhrzeit, um die entsprechenden Dialogfelder zu öffnen. Weitere Informationen finden Sie in Kapitel 32, Einrichten der Systemtastaturbelegung und Abschnitt 5.2, „Ändern der Länder- und Zeiteinstellungen“.

4. Klicken Sie auf Details, um die für den root-Benutzer spezifischen Spracheinstellungen zu ändern.

   1. Legen Sie für Locale-Einstellungen für den Benutzer root die gewünschten Werte fest. Weitere Informationen erhalten Sie durch Klicken auf Hilfe.

   2. Entscheiden Sie, ob Sie für root UTF-8 als Kodierung verwenden möchten.

5. Wenn Ihre Locale nicht in der verfügbaren Liste der primären Sprachen enthalten war, versuchen Sie, diese unter Detaillierte Locale-Einstellung anzugeben. Möglicherweise stehen jedoch nicht immer vollständige Lokalisierungen zur Verfügung.

6. Bestätigen Sie Ihre Änderungen in den Dialogfeldern mit OK. Wenn Sie sekundäre Sprachen ausgewählt haben, installiert YaST die lokalisierten Softwarepakete für die zusätzlichen Sprachen.

Das System ist nun mehrsprachig. Um jedoch eine Anwendung in einer Sprache starten zu können, die nicht als primäre Sprache festgelegt wurde, müssen Sie die gewünschte Sprache explizit wie unter Abschnitt 5.1.3, „Sprachwechsel für Standard X- und GNOME-Anwendungen“ beschrieben festlegen.

LANG=LANGUAGE application

Passen Sie mithilfe des YaST-Moduls für Datum und Uhrzeit das Systemdatum sowie die Uhrzeit- und Zeitzoneninformationen an die Region an, in der Sie arbeiten. Starten Sie YaST, um auf das YaST-Modul zuzugreifen, und klicken Sie auf System › Datum und Uhrzeit. Starten Sie alternativ das Dialogfeld Uhr und Zeitzone direkt, indem Sie sudo yast2 timezone & von einer Kommandozeile aus ausführen.

Wählen Sie zunächst eine allgemeine Region, beispielsweise Europa. Wählen Sie dann das für Sie passende Land aus, beispielsweise Deutschland.

Passen Sie je nachdem, welche Betriebssysteme auf Ihrem Arbeitsplatzrechner ausgeführt werden, die Einstellungen der Rechneruhr entsprechend an.

Wichtig: Einstellen der Rechneruhr auf UTC

Die Umschaltung von der Standardzeit auf die Sommerzeit (und umgekehrt) erfolgt nur dann automatisch, wenn die Rechneruhr (CMOS-Uhr) auf UTC eingestellt ist. Dies gilt auch dann, wenn Sie die automatische Zeitsynchronisierung mit NTP nutzen, weil die automatische Synchronisierung nur dann vorgenommen wird, wenn die Zeitdifferenz zwischen der Rechneruhr und der Systemuhr weniger als 15 Minuten beträgt.

Eine falsche Systemzeit kann zu schwerwiegenden Problemen führen (verpasste Datensicherungen, verloren gegangene Emails, Fehler beim Einhängen in Ferndateisysteme usw.). Es wird daher dringend empfohlen, die Rechneruhr immer auf UTC einzustellen.

Sie können das Datum und die Uhrzeit manuell ändern oder Ihren Computer mit einem NTP-Server synchronisieren lassen, entweder permanent oder nur zur Festlegung Ihrer Hardware-Uhr.

Zur Verwaltung von Benutzern oder Gruppen starten Sie YaST, und klicken Sie auf Sicherheit und Benutzer › Verwaltung von Benutzern und Gruppen. Das Dialogfeld Verwaltung von Benutzern und Gruppen können Sie auch über die Kommandozeile mittels des Kommandos sudo yast2 users & starten.

Abbildung 6.1: YaST – Verwaltung von Benutzern und Gruppen #

 

Jedem Benutzer wird eine systemweite Benutzer-ID (UID) zugewiesen. Neben den Benutzern, die sich an Ihrem Computer anmelden können, gibt es außerdem eine Reihe von Systembenutzern nur für den internen Gebrauch. Jeder Benutzer wird einer oder mehreren Gruppen zugewiesen. Ähnlich wie bei den Systembenutzern gibt es auch Systemgruppen für den internen Gebrauch.

Über Filter geben Sie an, welche Art von Benutzern (lokale Benutzer, Netzwerkbenutzer oder Systembenutzer) in diesem Dialogfeld angezeigt und bearbeitet werden sollen. Entsprechend dieser Auswahl enthält das Hauptfenster verschiedene Karteireiter. Über die Karteireiter können Sie folgende Aufgaben ausführen:

Für die Benutzer- und Gruppenverwaltung bietet das Dialogfeld ähnliche Funktionen. Sie können einfach zwischen den Ansichten für die Benutzer- und Gruppenverwaltung umschalten, indem Sie oben im Dialogfeld den entsprechenden Karteireiter auswählen.

Mit Filteroptionen definieren Sie die zu bearbeitenden Benutzer oder Gruppen: Klicken Sie auf der Registerkarte Benutzer oder Gruppe auf Filter festlegen, sodass die Benutzer oder Gruppen angezeigt werden. Diese werden nach bestimmten Kategorien aufgeführt, z. B. Lokale Benutzer oder LDAP-Benutzer (falls zutreffend). Mit Filter festlegen  › Benutzerdefinierte Filtereinstellung können Sie außerdem einen benutzerdefinierten Filter einrichten und verwenden.

Je nach Filter stehen im Dialogfeld nicht alle nachfolgend beschriebenen Optionen und Funktionen zur Verfügung.

Mit YaST können Sie Benutzerkonten erstellen, bearbeiten, löschen oder vorübergehend deaktivieren. Ändern Sie keine Benutzerkonten, es sei denn, Sie sind ein erfahrener Benutzer oder Administrator.

Anmerkung: Ändern der Benutzer-IDs bestehender Benutzer

Als Eigentümer einer Datei wird nicht der Name des betreffenden Benutzers, sondern seine Benutzer-ID angegeben. Bei der Änderung einer Benutzer-ID werden die Dateien im Home-Verzeichnis des betreffenden Benutzers automatisch an die neue ID angepasst. Das Eigentum an Dateien, die der Benutzer an anderer Stelle im Dateisystem erstellt hat, geht bei einer Änderung der Benutzer-ID allerdings verloren. Um es zu erhalten, müssten Sie den Eigentümer der Dateien manuell ändern.

Nachfolgend erfahren Sie, wie standardmäßige Benutzerkonten eingerichtet werden. Weitere Optionen finden Sie unter Abschnitt 6.3, „Weitere Optionen für Benutzerkonten“.

Tipp: Zuordnung von Benutzer-IDs

Die (lokale) Benutzer-ID sollte der ID im Netzwerk zugeordnet werden. Binden Sie beispielsweise einen neuen (lokalen) Benutzer auf einem Laptop mit derselben Benutzer-ID in eine Netzwerkumgebung ein. Dadurch wird gewährleistet, dass die Eigentümerschaft an den Dateien, die der Benutzer „offline“ erstellt, dieselbe ist wie bei der Erstellung der Dateien direkt im Netzwerk.

Neben den Einstellungen für Standard-Benutzerkonten bietet SUSE® Linux Enterprise Server noch weitere Optionen. Dies sind beispielsweise Optionen, mit denen Sie Passwortrichtlinien durchsetzen, verschlüsselte Home-Verzeichnisse verwenden oder Festplattenquoten für Benutzer und Gruppen festlegen.

6.3.1 Automatische Anmeldung und Anmeldung ohne Passwort #

 

Wenn Sie in der GNOME-Desktop-Umgebung arbeiten, können Sie die Automatische Anmeldung für einen bestimmten Benutzer sowie die Anmeldung ohne Passwort für sämtliche Benutzer konfigurieren. Mit der Option für die automatische Anmeldung wird ein Benutzer beim Booten automatisch in der Desktop-Umgebung angemeldet. Diese Funktion kann nur für jeweils einen Benutzer aktiviert werden. Mit der Option für die Anmeldung ohne Passwort können sich sämtliche Benutzer beim System anmelden, nachdem sie ihren Benutzernamen im Anmeldemanager eingegeben haben.

Warnung: Sicherheitsrisiko

Die Aktivierung der Automatischen Anmeldung bzw. der Anmeldung ohne Passwort ist auf einem Computer, zu dem mehrere Personen Zugang haben, ein Sicherheitsrisiko. Wenn keine Authentifizierung erforderlich ist, erhält jeder Benutzer Zugriff auf Ihr System und Ihre Daten. Verwenden Sie diese Funktion nicht, wenn Ihr System vertrauliche Daten enthält.

Zur Aktivierung der automatischen Anmeldung oder der Anmeldung ohne Passwort greifen Sie auf diese Funktionen in der Verwaltung von Benutzern und Gruppen von YaST über Optionen für Experten › Einstellungen für das Anmelden zu.

6.3.3 Verwalten von Quoten #

 

Um zu verhindern, dass die Systemkapazität ohne Benachrichtigung zur Neige geht, können Systemadministratoren Quoten für Benutzer oder Gruppen einrichten. Quoten können für ein oder mehrere Dateisysteme definiert werden und beschränken den Speicherplatz, der verwendet werden kann, sowie die Anzahl der Inodes (Index-Knoten), die hier erstellt werden können. Inodes sind Datenstrukturen eines Dateisystems, die grundlegende Informationen über normale Datei-, Verzeichnis- oder andere Dateisystemobjekte speichern. Sie speichern alle Attribute eines Dateisystemobjekts (z. B. Eigentümer des Objekts und Berechtigungen wie Lesen, Schreiben oder Ausführen), mit Ausnahme des Dateinamens und des Dateiinhalts.

SUSE Linux Enterprise Server ermöglicht die Verwendung von Softquoten und Hardquoten. Zusätzlich können Kulanzintervalle definiert werden, damit Benutzer oder Gruppen ihre Quoten vorübergehend um bestimmte Werte überschreiten können.

Softlimit

Definiert eine Warnstufe, bei dem die Benutzer informiert werden, sobald sie sich ihrer Grenze nähern. Die Administratoren fordern die Benutzer auf, die Partition zu bereinigen und die Datenmenge auf der Partition zu vermindern. Der Wert für das Softlimit ist in der Regel niedriger als der Wert für das Hardlimit.

Hardlimit

Definiert die Grenze, ab der Schreibanforderungen verweigert werden. Sobald das Hardlimit erreicht wird, können keine Daten mehr gespeichert werden und Anwendungen können unter Umständen abstürzen.

Kulanzzeitraum

Definiert den Zeitraum zwischen dem Überschreiten des Softlimits und der Ausgabe der Warnmeldung. In der Regel ein relativ niedriger Wert von einer oder wenigen Stunden.

Vorgehen 6.4: Aktivieren der Quotenunterstützung für eine Partition #

 

Wenn Sie Quoten für bestimmte Benutzer und Gruppen konfigurieren möchten, müssen Sie zunächst in YaST im Dialogfeld „Festplatte vorbereiten: Expertenmodus“ die Quotenunterstützung für die entsprechende Partition aktivieren.

Anmerkung: Quoten für Btrfs-Partitionen

Quoten für Btrfs-Partitionen werden anders behandelt. Weitere Informationen finden Sie im Book “Storage Administration Guide”, Chapter 1 “Overview of file systems in Linux”, Section 1.2.5 “Btrfs quota support for subvolumes”.

1. Wählen Sie in YaST die Optionsfolge System › Partitionieren, und klicken Sie dann auf Ja, um fortzufahren.

2. Wählen Sie unter Festplatte vorbereiten: Expertenmodus die Partition, für die Sie Quoten aktivieren möchten, und klicken Sie dann auf Bearbeiten.

3. Klicken Sie auf Optionen für Fstab und aktivieren Sie die Option zur Aktivierung der Quotenunterstützung. Falls das Paket quota noch nicht installiert ist, wird es automatisch installiert, sobald Sie die entsprechende Meldung mit Ja bestätigen.

4. Bestätigen Sie Ihre Änderungen und beenden Sie Festplatte vorbereiten: Expertenmodus.

5. Vergewissern Sie sich, dass der Dienst quotaon ausgeführt wird, indem Sie den folgenden Befehl ausführen:

   > sudo systemctl status quotaon.service

   Er sollte als aktiv gekennzeichnet sein. Wenn dies nicht der Fall ist, starten Sie ihn mit dem Befehl systemctl start quotaon.service.

Vorgehen 6.5: Einrichten von Quoten für Benutzer oder Gruppen #

 

Nun können Sie für spezifische Benutzer oder Gruppen Soft- bzw. Hardquoten definieren und Zeiträume als Kulanzintervalle festlegen.

1. Wählen Sie in YaST im Dialogfeld Verwaltung von Benutzern und Gruppen den Benutzer bzw. die Gruppe aus, für den/die Sie Quoten festlegen möchten, und klicken Sie dann auf Bearbeiten.

2. Wählen Sie auf dem Karteireiter Plugins den Eintrag Konfiguration der Benutzerquote aus und klicken Sie dann auf Aufrufen, um das Dialogfeld für die Quotenkonfiguration zu öffnen.

3. Wählen Sie unter Dateisystem die Partition aus, auf die die Quote angewendet werden soll.

   

4. Beschränken Sie im Bereich Größenbeschränkungen den Speicherplatz. Geben Sie die Anzahl der 1-KB-Blöcke an, über die der Benutzer bzw. die Gruppe auf dieser Partition verfügen kann. Geben Sie einen Wert für Softlimit und einen für Hardlimit an.

5. Zudem können Sie die Anzahl der Inodes beschränken, über die der Benutzer bzw. die Gruppe auf der Partition verfügen kann. Geben Sie im Bereich für die Inodes-Limits ein Softlimit und ein Hardlimit ein.

6. Kulanzintervalle können nur definiert werden, wenn der Benutzer bzw. die Gruppe das für die Größe bzw. die Inodes festgelegte Softlimit bereits überschritten hat. Anderenfalls sind die zeitbezogenen Textfelder nicht aktiviert. Geben Sie den Zeitraum an, für den der Benutzer bzw. die Gruppe die oben festgelegten Limits überschreiten darf.

7. Bestätigen Sie die Einstellungen mit OK.

8. Klicken Sie auf OK, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern.

   Sollen alle Änderungen gespeichert werden, ohne das Dialogfeld Verwaltung von Benutzern und Gruppen zu schließen, klicken Sie alternativ auf Optionen für Experten › Änderungen jetzt schreiben.

SUSE Linux Enterprise Server umfasst auch Kommandozeilen-Tools wie repquota oder warnquota. Die Systemadministratoren können mit diesen Tools die Festplattennutzung steuern oder Email-Benachrichtigungen an Benutzer senden, die ihre Quote überschritten haben. Mit quota_nld können Administratoren auch Kernel-Meldungen über überschrittene Speicherquoten an D-BUS weiterleiten. Weitere Informationen finden Sie auf der repquota-, warnquota- und quota_nld-man-Seite.

Beim Erstellen von neuen lokalen Benutzern werden von YaST verschiedene Standardeinstellungen verwendet. Zu diesen Einstellungen zählen unter anderem die Primärgruppe sowie die Sekundärgruppen des Benutzers und die Zugriffsberechtigungen für das Home-Verzeichnis des Benutzers. Sie können diese Standardeinstellungen entsprechend Ihren Anforderungen ändern:

Lokale Benutzer werden mehreren Gruppen zugewiesen. Diese Zuweisung erfolgt gemäß den Standardeinstellungen, die Sie über das Dialogfeld Verwaltung von Benutzern und Gruppen auf dem Karteireiter Standardeinstellungen für neue Benutzer aufrufen können. Im nächsten Abschnitt erfahren Sie, wie Sie die Gruppenzuweisung eines einzelnen Benutzers ändern. Informationen zur Änderung der Standardgruppenzuweisung für neue Benutzer erhalten Sie unter Abschnitt 6.4, „Ändern der Standardeinstellungen für lokale Benutzer“.

Mit YaST können Sie schnell und einfach Gruppen hinzufügen, bearbeiten und löschen.

Es können nur Gruppen gelöscht werden, die keine Gruppenmitglieder enthalten. Um eine Gruppe zu löschen, wählen Sie sie in der Liste aus und klicken Sie auf Löschen. Klicken Sie auf OK, um das Verwaltungsdialogfeld zu schließen und die Änderungen zu speichern. Sollen alle Änderungen gespeichert werden, ohne das Dialogfeld Verwaltung von Benutzern und Gruppen zu schließen, klicken Sie alternativ auf Optionen für Experten › Änderungen jetzt schreiben.

Wenn Ihr Computer an ein Netzwerk angeschlossen ist, können Sie die Authentifizierungsmethode ändern. Folgende Optionen sind verfügbar:

Gehen Sie wie folgt vor, um die Authentifizierungsmethode zu ändern:

SUSE Linux Enterprise Server legt standardmäßig Benutzernamen an, die nicht gelöscht werden können. Diese Benutzer sind in der Regel in der Linux Standard Base definiert. Die folgende Liste zeigt die gängigen Benutzernamen und ihren Zweck:

Zum Öffnen des Dialogfelds Online-Aktualisierung starten Sie YaST, und wählen Sie Software  › Online-Aktualisierung. Stattdessen können Sie es auch von der Kommandozeile aus mit dem Kommando yast2 online_update starten.

Das Fenster Online-Update ist in vier Abschnitte unterteilt.

Abbildung 7.1: YaST-Online-Aktualisierung #

 

Unter Zusammenfassung im linken Bereich werden die verfügbaren Patches für SUSE Linux Enterprise Server aufgeführt. Die Patches werden nach Sicherheitsrelevanz (Sicherheit, Empfohlen und Optional) sortiert. Sie können die Ansicht des Abschnitts Zusammenfassung ändern, indem Sie eine der folgenden Optionen unter Patch-Kategorie anzeigen auswählen:

Jeder Listeneintrag im Abschnitt Zusammenfassung besteht aus einem Symbol und dem Patch-Namen. Eine Übersicht der möglichen Symbole und deren Bedeutung erhalten Sie, wenn Sie die Taste Umschalttaste–F1 drücken. Die erforderlichen Aktionen für Patches der Kategorie Sicherheit und Empfohlen sind automatisch voreingestellt. Möglich sind die Aktionen Automatisch installieren, Automatisch aktualisieren und Automatisch löschen.

Wenn Sie ein aktuelles Paket aus einem anderen als dem Aktualisierungs-Repository installieren, können die Anforderungen eines Patches für dieses Paket mit dieser Installation erfüllt sein. In diesem Fall wird ein Häkchen vor der Patchzusammenfassung angezeigt. Das Patch wird in der Liste angezeigt, bis Sie es für die Installation kennzeichnen. Dadurch wird nicht das Patch installiert (da das Paket bereits aktuell ist), sondern das Patch als installiert gekennzeichnet.

Wählen Sie einen Eintrag im Abschnitt Zusammenfassung aus, um eine kurze Patch-Beschreibung unten links im Dialogfeld anzuzeigen. Im Abschnitt oben rechts werden die Pakete aufgeführt, die im ausgewählten Patch enthalten sind (ein Patch kann aus mehreren Paketen bestehen). Klicken Sie im Abschnitt oben rechts auf einen Eintrag, um Details zu dem entsprechenden Paket, das im Patch enthalten ist, anzuzeigen.

Im Dialogfeld der YaST-Online-Aktualisierung können Sie wahlweise alle verfügbaren Patches gleichzeitig installieren oder die gewünschten Patches manuell auswählen. Außerdem können Sie Patches, die auf das System angewendet wurden, zurücksetzen.

Standardmäßig sind alle neuen Patches (außer den optionalen), die derzeit für Ihr System verfügbar sind, bereits zur Installation markiert. Sie werden automatisch angewendet, sobald Sie auf Übernehmen oder Anwenden klicken. Falls das System bei einem oder mehreren Patches neu gebootet werden muss, werden Sie hierüber informiert, bevor die Patch-Installation beginnt. Sie können dann die Installation der ausgewählten Patches fortsetzen, die Installation aller Patches, für die das System neu gebootet werden muss, überspringen und die restlichen Patches installieren oder auch zur manuellen Patch-Auswahl zurückkehren.

Wartungsaktualisierungen werden gründlich getestet, damit das Risiko, einen Fehler zu verursachen, auf ein Minimum reduziert wird. Wenn ein Patch tatsächlich einen Fehler enthält, wird er automatisch zurückgezogen. Eine neue Aktualisierung (mit höherer Versionsnummer) wird ausgegeben, die den fehlerhaften Patch zurücksetzt und seine neuerliche Installation verhindert. Die zurückgezogenen Patches und den zugehörigen Verlauf finden Sie auf dem Karteireiter Package Classification (Paketklassifikation).

Abbildung 7.2: Anzeigen von zurückgezogenen Patches und ihres Verlaufs #

 

Bei YaST können Sie automatische Aktualisierungen mit täglichem, wöchentlichem oder monatlichem Zeitplan konfigurieren. Installieren Sie das Paket yast2-online-update-configuration.

Standardmäßig werden die Aktualisierungen als Delta-RPMs heruntergeladen. Das Neuaufbauen von RPM-Paketen aus Delta-RPMs bewirkt eine hohe Belastung des Arbeitsspeichers und des Prozessors. Aus Leistungsgründen müssen Sie daher bei bestimmten Einrichtungen oder Hardware-Konfigurationen die Verwendung von Delta-RPMs deaktivieren.

Einige Patches, z. B. Kernel-Updates oder Pakete mit Lizenzvereinbarungen, erfordern Benutzerinteraktion, wodurch der automatische Aktualisierungsprozess angehalten würde. Sie können konfigurieren, dass Patches, für die ein Eingreifen des Benutzers erforderlich ist, übersprungen werden sollen.

Auf dem Karteireiter Patches im YaST-Software-Modul finden Sie die verfügbaren und installierten Patches, einschließlich der Verweise auf Fehlerberichte und CVE-Bulletins.