creating new user in linux

Von Thomas Schäfer technology 11 Min. Lesezeit
creating new user in linux

Wer frisch vor einem Ubuntu-Server oder einer Debian-Installation sitzt, begeht oft den ersten kapitalen Fehler: Er arbeitet als Root. Das ist gefährlich. Ein einziger vertippter Befehl löscht das gesamte Dateisystem. Wer Sicherheit ernst meint, kommt um das Thema Creating New User In Linux nicht herum. Es geht hier nicht nur um Ordnung. Es geht um den Schutz deiner Daten vor dir selbst und vor Angreifern von außen. Linux ist von Grund auf als Mehrbenutzersystem konzipiert. Das bedeutet, dass jeder Dienst, jede Person und oft sogar automatisierte Prozesse ein eigenes Konto brauchen. In diesem Text zeige ich dir, wie du das ohne Kopfschmerzen erledigst und warum die grafische Oberfläche meistens der falsche Weg ist.

Die Philosophie hinter Konten und Rechten

Linux unterscheidet strikt zwischen dem Allmächtigen und dem Rest der Welt. Der Root-Nutzer darf alles. Er kann Hardware zerstören oder Passwörter auslesen. Ein normaler Nutzer hingegen darf nur in seinem eigenen kleinen Sandkasten spielen, den wir Home-Verzeichnis nennen. Wenn du jemanden an dein System lässt, willst du ihm nicht den Generalschlüssel geben. Du gibst ihm einen Zimmerschlüssel. Das Prinzip der geringsten Berechtigung ist hier das Gesetz. Derweil können Sie ähnliche Ereignisse hier erkunden: Wie Schneller als die Angst unsere Wirklichkeit neu verdrahtet.

Es gibt im Grunde zwei Arten von Konten. Da sind die Systembenutzer, die meistens keine Shell haben und nur dazu dienen, dass Programme wie Apache oder MySQL sicher laufen. Dann gibt es die echten Menschen. Diese brauchen eine Shell, ein Verzeichnis für ihre Daten und oft auch die Möglichkeit, kurzzeitig Befehle mit erhöhten Rechten auszuführen. Das machen wir über sudo. Wer das nicht versteht, wird früher oder später sein System zerschießen. Ich habe schon Profis gesehen, die per rm -rf ihr System gekillt haben, nur weil sie dachten, sie müssten alles als Root erledigen.

Der richtige Befehl für Creating New User In Linux

Viele Anfänger stolpern über zwei Befehle, die fast gleich klingen: useradd und adduser. Hier trennt sich die Spreu vom Weizen. Wenn du auf einem Debian-basierten System wie Ubuntu oder Linux Mint arbeitest, solltest du fast immer adduser verwenden. Warum? Weil dieser Befehl ein interaktives Skript ist. Er stellt dir Fragen. Er erstellt das Home-Verzeichnis automatisch. Er kopiert die Standardkonfigurationen aus /etc/skel direkt an den richtigen Ort. Wer tiefer einsteigen möchte über den Kontext, findet bei Heise eine informative Zusammenfassung.

Warum useradd oft Probleme macht

Der Befehl useradd ist ein Low-Level-Werkzeug. Er macht genau das, was du sagst, und keinen Deut mehr. Wenn du einfach nur useradd hans tippst, bekommt Hans kein Verzeichnis für seine Dateien. Er bekommt keine Passworteingabeaufforderung. Er landet beim ersten Login in einer minimalen Shell, die sich anfühlt wie ein Computer aus den 80ern. Du musst bei diesem Werkzeug unzählige Parameter mitgeben. Das ist fehleranfällig und nervig. Nutze es nur, wenn du Skripte schreibst, die tausende Konten auf einmal anlegen müssen. Für den Alltag ist das Werkzeug schlicht zu sperrig.

Der Weg über adduser im Detail

Tippst du sudo adduser name, beginnt die Magie. Das System schlägt eine Benutzer-ID vor. Es legt eine Gruppe mit demselben Namen an. Das ist ein Standard unter Linux, um die Dateirechte sauber zu trennen. Danach wirst du nach einem Passwort gefragt. Nimm hier nichts Einfaches. Ein Passwort wie "123456" ist eine Einladung für jeden Botnet-Betreiber da draußen. Linux verschlüsselt dieses Passwort in der Datei /etc/shadow. Nur der Administrator kann diese Datei lesen, und selbst der sieht nur den Hash, nicht das Klartextwort. Das ist Sicherheit durch Design.

Administrative Rechte sicher vergeben

Ein neuer Nutzer kann erst einmal gar nichts am System ändern. Er kann keine Updates installieren. Er kann keine Software löschen. Das ist gut so. Aber was, wenn dieser Nutzer dein Stellvertreter sein soll? Dann muss er in die sudo-Gruppe. Das ist der sicherste Weg, administrative Aufgaben zu delegieren. Der Nutzer bleibt ein normaler Sterblicher, kann aber mit seinem eigenen Passwort kurzzeitig zum Gott werden.

Du fügst jemanden mit usermod -aG sudo name hinzu. Das -a steht für Append, also Anhängen. Vergisst du das, fliegen alle anderen Gruppenmitgliedschaften des Nutzers raus. Das ist ein klassischer Fehler, der schon viele Admins zur Verzweiflung gebracht hat. Plötzlich kommt der Kollege nicht mehr ins Internet oder kann nicht mehr drucken, weil er aus den entsprechenden Gruppen entfernt wurde. Sei hier extrem vorsichtig. Kontrolliere deine Eingaben lieber zweimal. Ein kurzer Blick in die /etc/group hilft, um zu sehen, wer wo drinsteckt.

Die Gefahren von NOPASSWD

Manche Leute sind faul. Sie konfigurieren die Sudoers-Datei so, dass kein Passwort abgefragt wird. Das ist Wahnsinn. Wenn ein Angreifer Zugriff auf dieses Konto bekommt, gehört ihm sofort der ganze Server. Die Passwortabfrage ist eine Hürde, die Zeit verschafft. Sie ist ein Moment zum Nachdenken. Brauche ich diese Rechte gerade wirklich? In der IT-Sicherheit ist Bequemlichkeit der größte Feind. Bleib bei der Standardeinstellung. Es schadet nicht, ab und zu ein Passwort zu tippen.

Die Dateien hinter den Kulissen verstehen

Wer Linux wirklich beherrschen will, muss wissen, wo die Informationen landen. Creating New User In Linux bedeutet Einträge in Textdateien zu schreiben. Die wichtigste ist /etc/passwd. Hier steht der Nutzername, die ID, das Home-Verzeichnis und die Shell. Früher standen hier auch die Passwörter. Das war unsicher. Deshalb gibt es jetzt die /etc/shadow. Diese Datei ist wie ein Safe. Nur Root darf reinschauen.

Dann gibt es noch /etc/group. Gruppen sind das Rückgrat der Zusammenarbeit. Wenn du ein Projektverzeichnis hast, auf das drei Leute zugreifen sollen, erstellst du eine Gruppe. Du weist das Verzeichnis dieser Gruppe zu und setzt die Rechte auf 775. So können alle in der Gruppe lesen und schreiben, aber Fremde haben keine Chance. Das ist effizienter, als jedem Nutzer einzeln Rechte zu geben. Es skaliert besser. Stell dir vor, du hast 50 Mitarbeiter. Ohne Gruppen wäre das ein administrativer Albtraum.

Das Verzeichnis skel als Vorlage

Jeder neue Nutzer bekommt eine Kopie der Dateien aus /etc/skel. Das ist extrem nützlich. Du kannst dort eine Standard-Bashrc hinterlegen oder Firmenrichtlinien als Textdatei. Wenn du das nächste Mal jemanden anlegst, hat er sofort deine optimierten Aliase und Farbeinstellungen in seinem Terminal. Das spart Zeit beim Onboarding. Es sorgt für Konsistenz auf allen Systemen in deinem Netzwerk. Konsistenz ist der Schlüssel zur Wartbarkeit.

🔗 Weiterlesen: diesen Leitfaden

Nutzer löschen ohne Datenverlust

Leute verlassen das Team. Projekte enden. Dann musst du Konten entfernen. Der Befehl userdel ist hier dein Freund. Aber Vorsicht: Einfaches Löschen lässt die Dateien des Nutzers auf der Festplatte verrotten. Diese Dateien gehören dann einer ID, die keinem Namen mehr zugeordnet ist. Das nennt man "verwaiste Dateien". Nutze lieber userdel -r. Das -r löscht das Home-Verzeichnis und den Mail-Spool gleich mit.

Manchmal willst du die Daten aber behalten. Dann löschst du nur den Account, aber nicht das Verzeichnis. Später kannst du die Dateien einem anderen Nutzer übertragen. Mit chown -R neuername:neuegruppe /pfad/zum/ordner änderst du den Besitzer rekursiv. Das ist ein Standardvorgang beim Personalwechsel. Es ist wichtig, solche Prozesse vorher zu definieren. Wer darf was behalten? Wer hat Zugriff auf die alten Mails? Kläre das mit dem Datenschutzbeauftragten, bevor du den Löschbefehl tippst. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik eine hervorragende Anlaufstelle für solche Compliance-Fragen.

Passwortrichtlinien und Sicherheit erzwingen

Ein Account ist nur so sicher wie sein Passwort. Du kannst Nutzer zwingen, ihre Passwörter regelmäßig zu ändern. Das Werkzeug dafür heißt chage. Mit chage -M 90 name muss der Nutzer alle 90 Tage ein neues Passwort wählen. Das nervt die Leute, erhöht aber die Sicherheit gegen alte Leaks. Du kannst sogar festlegen, dass das Konto an einem bestimmten Datum abläuft. Das ist perfekt für Praktikanten oder externe Berater.

Komplexe Passwörter fordern

Standardmäßig schluckt Linux fast alles als Passwort. Das solltest du ändern. Mit PAM-Modulen (Pluggable Authentication Modules) kannst du Regeln festlegen. Mindestens ein Großbuchstabe, eine Zahl, ein Sonderzeichen. Das lässt sich in der Datei /etc/pam.d/common-password konfigurieren. Es ist mühsam, das einzurichten, aber es lohnt sich. Ein gehackter Server kostet mehr Zeit und Nerven als ein paar Minuten Konfigurationsarbeit. Sicherheit ist kein Produkt, sondern ein Prozess.

SSH-Keys statt Passwörter

Wenn dein System über das Internet erreichbar ist, solltest du Passwörter für den Login komplett verbieten. Nutze SSH-Keys. Ein Key ist eine lange Kette aus Zeichen, die auf deinem lokalen Rechner liegt. Der Server kennt nur den öffentlichen Teil. Das ist fast unmöglich zu knacken. Nach dem Anlegen eines Nutzers solltest du seinen Public Key in ~/.ssh/authorized_keys hinterlegen. Deaktiviere danach die Passwort-Authentifizierung in der /etc/ssh/sshd_config. Das ist der Goldstandard für Server-Sicherheit. Informationen zu aktuellen Sicherheitsstandards findest du auch bei der Electronic Frontier Foundation, die sich weltweit für digitale Privatsphäre einsetzt.

Häufige Fehler und wie man sie vermeidet

Ich habe oft gesehen, dass Leute versuchen, die /etc/passwd manuell mit einem Texteditor zu bearbeiten. Tu das niemals. Wenn du einen Fehler machst, sperrst du dich vielleicht selbst aus. Es gibt spezialisierte Tools wie vipw, die die Datei sperren, während du sie bearbeitest. So verhinderst du, dass zwei Prozesse gleichzeitig schreiben und die Datei korrumpieren.

Ein weiterer Fehler ist die Vergabe von zu vielen Rechten. Gib niemals jemandem Root-Rechte, der sie nicht unbedingt braucht. Es gibt oft bessere Wege. Braucht jemand Zugriff auf die Logs? Füge ihn zur Gruppe adm hinzu. Muss jemand Docker-Container starten? Pack ihn in die docker-Gruppe. Nutze die vorhandenen Gruppen deines Systems. Schau dir mit groups an, welche es gibt. Linux-Distributionen wie Ubuntu haben schon sehr gute Standardgruppen für fast jeden Zweck.

Shell-Auswahl und Anpassung

Nicht jeder mag die Bash. Manche schwören auf die Zsh oder die Fish-Shell. Du kannst die Standard-Shell für einen Nutzer mit chsh -s /bin/zsh name ändern. Das ist eine Geste der Höflichkeit gegenüber deinen Mitstreitern. Eine gute Shell macht die Arbeit effizienter. Sie bietet Autovervollständigung und bessere Fehlermeldungen. Wer den ganzen Tag im Terminal verbringt, weiß das zu schätzen.

Nicht verpassen: diese Geschichte

Umgebungsvariablen richtig setzen

Jeder Nutzer hat seine eigene Umgebung. In der Datei .profile oder .bashrc im Home-Verzeichnis werden Pfade gesetzt und Aliase definiert. Wenn du eine Software installierst, die im Pfad des Nutzers sein muss, ist das der richtige Ort. Achte darauf, dass du diese Dateien nicht als Root bearbeitest, wenn sie im Home-Verzeichnis eines Nutzers liegen. Sonst gehören die Dateien danach Root und der Nutzer kann seine eigenen Einstellungen nicht mehr speichern. Das ist ein Klassiker unter den Support-Anfragen. "Ich ändere meine Einstellungen, aber nach dem Neustart sind sie weg." Meistens liegen dann die Rechte falsch.

Überwachung und Auditing

Du solltest wissen, wer was auf deinem System macht. Das hat nichts mit Misstrauen zu tun, sondern mit Forensik. Wenn etwas schiefgeht, willst du wissen, wann welcher Nutzer welchen Befehl abgesetzt hat. Das Tool last zeigt dir, wer wann eingeloggt war. Die Datei /var/log/auth.log protokolliert jeden Sudo-Befehl. Schau dort regelmäßig rein. Ungewöhnliche Aktivitäten fallen so schnell auf. Es gibt auch fortgeschrittene Tools wie auditd, die fast jede Systeminteraktion aufzeichnen können. Das ist für Hochsicherheitssysteme ein Muss. In Europa sind solche Überwachungsmaßnahmen natürlich im Rahmen der DSGVO zu betrachten. Transparenz gegenüber den Nutzern ist hier Pflicht.

Automatisierung mit Ansible oder Cloud-Init

Wenn du nicht nur einen Server, sondern hunderte verwaltest, machst du das nicht mehr von Hand. Du nutzt Tools wie Ansible. Dort definierst du deine Nutzer in einer YAML-Datei. Ansible sorgt dafür, dass auf allen Servern die gleichen User mit den gleichen Keys existieren. Das ist fehlerfrei und schnell. Auch Cloud-Init ist ein mächtiges Werkzeug. Es richtet Nutzer schon beim ersten Booten einer virtuellen Maschine ein. Wer heute in der Cloud arbeitet, kommt an diesen Technologien nicht vorbei. Sie heben die Administration auf ein neues Level.

Warum grafische Tools oft versagen

Auf dem Desktop gibt es schicke Menüs, um Nutzer anzulegen. In der Theorie ist das super. In der Praxis fehlen oft die entscheidenden Optionen. Du kannst keine spezifischen UIDs vergeben oder komplexe Gruppenstrukturen abbilden. Wenn du Linux lernst, lerne es auf der Kommandozeile. Das Wissen, das du dort erwirbst, ist universell. Es funktioniert auf einem Raspberry Pi genauso wie auf einem Supercomputer. Die grafischen Oberflächen ändern sich alle paar Jahre, die Bash bleibt seit Jahrzehnten nahezu gleich. Das ist investierte Zeit, die sich langfristig auszahlt.

Praktische nächste Schritte

Damit du nicht nur liest, sondern auch handelst, hier dein Fahrplan für die nächsten Minuten. Probier es direkt aus, am besten in einer virtuellen Maschine oder auf einem Test-Server.

  1. Erstelle einen Testnutzer mit sudo adduser testuser und achte auf die Fragen, die das System dir stellt.
  2. Überprüfe den Eintrag in der Datei /etc/passwd mit grep testuser /etc/passwd, um zu sehen, welche ID vergeben wurde.
  3. Gib dem Nutzer Sudo-Rechte via sudo usermod -aG sudo testuser und teste den Zugriff, indem du dich mit su - testuser anmeldest.
  4. Experimentiere mit Passwort-Ablauffristen durch sudo chage -l testuser, um die aktuellen Einstellungen zu sehen.
  5. Lösche den Account am Ende wieder mit sudo userdel -r testuser, um dein System sauber zu halten.

Sicherheit fängt klein an. Ein sauber verwaltetes System ist die Basis für alles andere. Wer seine Nutzer im Griff hat, hat auch seine Sicherheit im Griff. Es gibt keinen Grund, das aufzuschieben. Fang heute an, deine Server nach diesen Regeln zu organisieren. Du wirst es dir selbst danken, wenn das nächste Mal jemand nach Zugriff fragt oder ein Audit ansteht. Linux ist mächtig, aber es verlangt Disziplin. Gib diese Disziplin an dein System weiter. Wer mehr über die Grundlagen von Unix-Systemen wissen möchte, kann sich beim The Open Group über Standards informieren, die Linux bis heute prägen.

TS

Thomas Schäfer

Thomas Schäfer verfolgt politische und soziale Debatten mit kritischem Blick und journalistischer Verantwortung.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap