techlogia — KI- und Web-Dienstleister Berlin
Alle Kurse
Frei lesbar – ohne Anmeldung

Linux-Benutzer und Berechtigungen

Du lernst das Linux-Benutzer- und Berechtigungssystem: Benutzer und Gruppen anlegen, sudo-Rechte vergeben, Dateibesitz und Zugriffsrechte setzen, und SUID-Risiken verstehen. Grundwissen für jeden Server-Administrator und Pflichtthema in der IHK-Prüfung. 5 Aufgaben, ca. 60 Minuten.

Dauer: 60 Min.Niveau: EinsteigerAufgaben: 5

Benutzer, Gruppen und Dateiberechtigungen verwalten

Benutzer, Gruppen und Berechtigungen unter Linux

Auf einem Linux-Server hat jede Datei einen Besitzer und eine Gruppe, und jeder Prozess läuft unter einem Benutzer-Account mit bestimmten Rechten. Wer das System sauber aufteilt, verhindert, dass ein einzelner kompromittierter Account den ganzen Server gefährdet — das ist das Prinzip der minimalen Rechte (Least Privilege).

Wichtige Begriffe

  • Benutzer (user): ein Konto, unter dem Prozesse laufen. root ist der Administrator mit allen Rechten.
  • Gruppe (group): bündelt mehrere Benutzer, um ihnen gemeinsam Rechte zu geben.
  • Berechtigungen (permissions): legen fest, wer eine Datei lesen (r), schreiben (w) oder ausführen (x) darf — getrennt für Besitzer, Gruppe und alle anderen.
  • sudo: erlaubt einem normalen Benutzer, einzelne Befehle mit Administrator-Rechten auszuführen.

Dein Ziel in dieser Lektion

Du baust eine typische Firmenserver-Struktur: eine Entwickler-Gruppe, einen Benutzer darin, ein gemeinsames Projektverzeichnis mit korrekten Gruppenrechten, eine gezielte sudo-Regel — und du spürst riskante SUID-Programme auf. Pflichtthema in der IHK-Prüfung.

Aufgaben

  1. 1. Gruppe 'devs' anlegen

    Begriff: Gruppe. Gruppen bündeln Benutzer mit gleichen Rechten. Statt jeder Person einzeln Rechte zu geben, vergibst du sie einmal an die Gruppe — das ist die Grundlage sauberer Rechteverwaltung.

    Lege eine Gruppe namens devs an:

    sudo groupadd devs

    Kontrolle: getent group devs gibt eine Zeile aus, die mit devs: beginnt.

  2. 2. Benutzer 'developer' anlegen und Gruppe zuweisen

    Begriff: Benutzer & Gruppenzugehörigkeit. Ein neuer Benutzer gehört nur dann zur Gruppe devs, wenn du ihn ausdrücklich zuweist. Das -m legt zugleich sein Home-Verzeichnis an (/home/developer), das er für eigene Dateien braucht.

    Lege den Benutzer developer an und nimm ihn in die Gruppe devs auf:

    sudo useradd -m -G devs developer

    Kontrolle: id developer zeigt developer und in den Gruppen devs; /home/developer existiert.

  3. 3. Projektverzeichnis mit Gruppenrechten

    Begriff: Besitz & das SGID-Bit. Der Gruppenbesitz entscheidet, wer in einem Verzeichnis schreiben darf. Das SGID-Bit (die führende 2 in 2775) sorgt dafür, dass neue Dateien automatisch die Gruppe des Verzeichnisses erben — sonst gehört jede neue Datei der Gruppe des Erstellers und das Team verliert den Zugriff.

    Lege das Verzeichnis an, setze Besitzer und Rechte:

    sudo mkdir -p /opt/project
sudo chown root:devs /opt/project
sudo chmod 2775 /opt/project

    Kontrolle: stat -c '%U:%G %a' /opt/project ergibt root:devs 2775.

  4. 4. sudo-Zugang für devs-Gruppe

    Begriff: gezielte sudo-Regel (NOPASSWD). Statt vollen Admin-Zugang zu geben, erlaubst du der Gruppe devs genau einen Befehl ohne Passwort — Least Privilege. Solche Regeln gehören in eigene Dateien unter /etc/sudoers.d/.

    Erstelle die Datei (sudo nano /etc/sudoers.d/devs) mit dem Inhalt:

    %devs ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx

    ⚠️ Prüfe die Syntax immer mit sudo visudo -c -f /etc/sudoers.d/devs — ein Fehler in einer sudoers-Datei kann sudo komplett sperren.

    Kontrolle: /etc/sudoers.d/devs enthält eine %devs-Regel mit NOPASSWD für systemctl restart nginx.

  5. 5. SUID-Binaries aufspüren

    Begriff: SUID. Ein SUID-Programm läuft mit den Rechten seines Besitzers (oft root) statt mit denen des Aufrufers. Beispiel: /usr/bin/passwd darf dein Passwort in /etc/shadow (nur root) ändern. SUID ist nötig, aber jede Lücke darin bedeutet sofortige Rechteausweitung — deshalb verschafft man sich einen Überblick (Audit).

    Finde alle SUID-Programme und schreibe sie in eine Audit-Datei:

    find / -perm -4000 -type f 2>/dev/null > /home/student/suid-audit.txt

    -perm -4000 filtert das SUID-Bit; 2>/dev/null unterdrückt Fehlermeldungen zu gesperrten Verzeichnissen.

    Kontrolle: /home/student/suid-audit.txt ist nicht leer und enthält u. a. /usr/bin/passwd.

Jetzt selbst üben

Lesen ist gut – selbst machen ist besser. Starte diesen Kurs an einer echten Linux-VM, direkt im Browser. Ein kostenloses Konto genügt.

Kostenlos starten

Lab-Inhalte unter CC BY 4.0 – frei nutzbar mit Namensnennung (© TechLogia).

Linux-Benutzer und Berechtigungen