usermod - ein Benutzerkonto ändern
SYNOPSIS
usermod [Optionen] LOGIN
BESCHREIBUNG
Der Befehl usermod ändert die Systemkontodateien.
OPTIONEN
Die Optionen, die für den Befehl usermod gelten, sind:
-a, --append
Fügt den Benutzer den zusätzlichen Gruppen hinzu. Verwenden Sie dies nur mit der Option -G.
-b, --badname
Erlaubt Namen, die nicht den Standards entsprechen.
-c, --comment KOMMENTAR
Aktualisiert das Kommentarfeld des Benutzers in /etc/passwd, das normalerweise mit dem Dienstprogramm chfn(1) geändert wird.
-d, --home HOME_DIR
Das neue Anmeldeverzeichnis des Benutzers.
Wenn die Option -m angegeben wird, werden die Inhalte des aktuellen Home-Verzeichnisses in das neue Home-Verzeichnis verschoben, das erstellt wird, falls es noch nicht vorhanden ist. Wenn das aktuelle Home-Verzeichnis nicht vorhanden ist, wird das neue Home-Verzeichnis nicht erstellt.
-e, --expiredate ABLAUFDATUM
Gibt das Datum an, an dem das Benutzerkonto deaktiviert wird. Der Wert kann als Datum im Format JJJJ-MM-TT oder als Anzahl der Tage seit dem 1. Januar 1970 angegeben werden. Das Datum wird in der UTC-Zeitzone interpretiert.
Eine Eingabe von -1 oder einer leeren Zeichenkette löscht das Feld für das Ablaufdatum der Konten in der Shadow-Passwortdatei. Das Konto bleibt ohne Ablaufdatum verfügbar.
Diese Option erfordert die Datei /etc/shadow. Wenn kein Eintrag in der Datei /etc/shadow vorhanden ist, wird das System automatisch einen erstellen.
-f, --inactive INAKTIV
Definiert die Anzahl der Tage, nachdem ein Passwort seine maximale Gültigkeitsdauer überschritten hat, während derer sich der Benutzer durch sofortiges Ändern seines Passworts anmelden kann. Wenn der Benutzer sein Passwort innerhalb dieser Zeit nicht ändert, wird sein Konto inaktiv. Dieser Wert wird in der Shadow-Passwortdatei gespeichert.
Ein Wert von 0 deaktiviert das Konto, sobald das Passwort abläuft, ohne Verzögerung.
Ein Wert von -1 leert das entsprechende Feld in der Shadow-Passwortdatei, was bedeutet, dass der Zeitraum der Inaktivität nicht erzwungen wird.
Diese Option erfordert die Datei /etc/shadow. Wenn kein Eintrag in der Datei /etc/shadow vorhanden ist, wird das System automatisch einen erstellen.
-g, --gid GRUPPE
Der Name oder die numerische ID der neuen primären Gruppe des Benutzers. Die Gruppe muss existieren.
Jede Datei im Home-Verzeichnis des Benutzers, die sich im Besitz der vorherigen primären Gruppe des Benutzers befindet, gehört dieser neuen Gruppe.
Die Gruppenmitgliedschaft von Dateien außerhalb des Home-Verzeichnisses des Benutzers muss manuell korrigiert werden.
Die Änderung der Gruppenmitgliedschaft von Dateien im Home-Verzeichnis des Benutzers wird auch dann nicht vorgenommen, wenn sich der UID des Home-Verzeichnisbesitzers von der aktuellen oder neuen Benutzer-ID unterscheidet. Dies ist eine Sicherheitsmaßnahme für spezielle Home-Verzeichnisse wie /.
-G, --groups GRUPPE1[,GRUPPE2,...[,GRUPPE N]]]
Eine Liste der zusätzlichen Gruppen, deren Mitglied der Benutzer ebenfalls ist. Jede Gruppe wird durch ein Komma getrennt, ohne Leerzeichen dazwischen. Die Gruppen müssen existieren.
Wenn der Benutzer derzeit Mitglied einer Gruppe ist, die nicht aufgeführt ist, wird der Benutzer aus dieser Gruppe entfernt. Dieses Verhalten kann über die Option -a geändert werden, die den Benutzer der aktuellen Liste der sekundären Gruppen hinzufügt.
-l, --login NEW_LOGIN
Der Name des Benutzers wird von LOGIN in NEW_LOGIN geändert. Nichts anderes wird geändert. Insbesondere sollten das Home-Verzeichnis oder das Mail-Spool des Benutzers manuell umbenannt werden, um den neuen Login-Namen widerzuspiegeln.
-L, --lock
Sperrt das Passwort eines Benutzers. Dadurch wird ein „!“ vor das verschlüsselte Passwort gesetzt, wodurch das Passwort effektiv deaktiviert wird. Diese Option kann nicht mit -p oder -U verwendet werden.
Hinweis: Wenn Sie das Konto sperren möchten (nicht nur den Zugriff mit einem Passwort), sollten Sie auch das EXPIRE_DATE auf 1 setzen.
-m, --move-home
verschiebt den Inhalt des Home-Verzeichnisses des Benutzers an den neuen Speicherort. Wenn das aktuelle Home-Verzeichnis nicht vorhanden ist, wird das neue Home-Verzeichnis nicht erstellt.
Diese Option ist nur in Kombination mit der Option -d (oder --home) gültig.
usermod versucht, die Eigentümerschaft der Dateien anzupassen und die Modi, ACLs und erweiterten Attribute zu kopieren, aber möglicherweise sind danach manuelle Änderungen erforderlich.
-o, --non-unique
erlaubt die Änderung der Benutzer-ID auf einen nicht eindeutigen Wert.
Diese Option ist nur in Kombination mit der Option -u gültig. Da eine Benutzeridentität als Schlüssel dient, um Benutzer einerseits und Berechtigungen, Dateieigentümerschaften und andere Aspekte, die das Verhalten des Systems bestimmen, andererseits zuzuordnen, greifen mehr als ein Login-Name auf das Konto der angegebenen UID zu.
-p, --password PASSWORD
definiert ein neues Passwort für den Benutzer. PASSWORD muss verschlüsselt sein, wie es von crypt(3) zurückgegeben wird.
Hinweis: Vermeiden Sie diese Option in der Befehlszeile, da das Passwort (oder das verschlüsselte Passwort) für Benutzer sichtbar ist, die die Prozesse auflisten.
Das Passwort wird in die lokale Datei /etc/passwd oder /etc/shadow geschrieben. Dies kann sich von der in Ihrer PAM-Konfiguration konfigurierten Passwortdatenbank unterscheiden.
Sie sollten sicherstellen, dass das Passwort die Passwortrichtlinie des Systems einhält.
-r, --remove
Entfernt den Benutzer aus den angegebenen sekundären Gruppen. Nur in Verbindung mit der Option -G verwenden.
-R, --root CHROOT_DIR
Wendet Änderungen im CHROOT_DIR-Verzeichnis an und verwendet die Konfigurationsdateien aus dem CHROOT_DIR-Verzeichnis. Es werden nur absolute Pfade unterstützt.
-P, --prefix PREFIX_DIR
Wendet Änderungen innerhalb des Verzeichnisbaums beginnend mit PREFIX_DIR an und verwendet auch die dort befindlichen Konfigurationsdateien. Diese Option führt keine Chroot-Operation durch und ist für die Vorbereitung eines Cross-Kompilierungsziels gedacht. Einige Einschränkungen: NIS- und LDAP-Benutzer/Gruppen werden nicht überprüft. Die PAM-Authentifizierung verwendet die Hostdateien. Keine SELINUX-Unterstützung.
-s, --shell SHELL
ändert die Login-Shell des Benutzers. Eine leere Zeichenkette für SHELL leert das Feld in /etc/passwd und meldet den Benutzer bei der Standard-Shell des Systems an.
-u, --uid UID
Der neue Wert für die Benutzer-ID.
Dieser Wert muss eindeutig sein, es sei denn, die Option -o wird verwendet. Der Wert muss nicht-negativ sein.
Der Posteingang des Benutzers und alle Dateien, die dem Benutzer gehören und sich im Home-Verzeichnis des Benutzers befinden, werden automatisch die Dateibenutzer-ID ändern.
Die Eigentumsrechte von Dateien außerhalb des Home-Verzeichnisses des Benutzers müssen manuell geändert werden.
Die Änderung der Eigentumsrechte von Dateien innerhalb des Home-Verzeichnisses des Benutzers wird auch nicht durchgeführt, wenn der Eigentümer des Home-Verzeichnisses von der aktuellen oder neuen Benutzer-ID abweicht. Dies ist eine Sicherheitsmaßnahme für spezielle Home-Verzeichnisse wie /.
Es werden keine Prüfungen in Bezug auf UID_MIN, UID_MAX, SYS_UID_MIN oder SYS_UID_MAX aus /etc/login.defs durchgeführt.
-U, --unlock
Entsperrt das Passwort eines Benutzers. Dadurch wird das „!“ vor dem verschlüsselten Passwort entfernt. Sie können diese Option nicht zusammen mit -p oder -L verwenden.
Hinweis: Wenn Sie das Konto entsperren möchten (nicht nur den Zugriff mit einem Passwort), sollten Sie auch das EXPIRE\_DATE festlegen (z. B. auf 99999 oder auf den EXPIRE-Wert aus /etc/default/useradd).
-v, --add-subuids FIRST-LAST
Fügt dem Benutzerkonto einen Bereich von untergeordneten UIDs hinzu.
Diese Option kann mehrmals angegeben werden, um mehrere Bereiche zu einem Benutzerkonto hinzuzufügen.
Es werden keine Prüfungen in Bezug auf SUB_UID_MIN, SUB_UID_MAX oder SUB_UID_COUNT aus /etc/login.defs durchgeführt.
-V, --del-subuids FIRST-LAST
Entfernt einen Bereich von untergeordneten UIDs aus dem Benutzerkonto.
Diese Option kann mehrmals angegeben werden, um mehrere Bereiche aus einem Benutzerkonto zu entfernen. Wenn sowohl --del-subuids als auch --add-subuids angegeben sind, erfolgt die Entfernung aller Bereiche von untergeordneten UIDs, bevor ein Bereich von untergeordneten UIDs hinzugefügt wird.
Es werden keine Prüfungen in Bezug auf SUB_UID_MIN, SUB_UID_MAX oder SUB_UID_COUNT aus /etc/login.defs durchgeführt.
-w, --add-subgids FIRST-LAST
Fügt dem Benutzerkonto einen Bereich von untergeordneten GIDs hinzu.
Diese Option kann mehrmals angegeben werden, um mehrere Bereiche zu einem Benutzerkonto hinzuzufügen.
Es werden keine Prüfungen in Bezug auf SUB_GID_MIN, SUB_GID_MAX oder SUB_GID_COUNT aus /etc/login.defs durchgeführt.
-W, --del-subgids FIRST-LAST
Entfernt einen Bereich von untergeordneten GIDs aus dem Benutzerkonto.
Diese Option kann mehrmals angegeben werden, um mehrere Bereiche aus einem Benutzerkonto zu entfernen. Wenn sowohl --del-subgids als auch --add-subgids angegeben sind, erfolgt die Entfernung aller Bereiche von untergeordneten GIDs, bevor ein Bereich von untergeordneten GIDs hinzugefügt wird.
Es werden keine Prüfungen in Bezug auf SUB_GID_MIN, SUB_GID_MAX oder SUB_GID_COUNT aus /etc/login.defs durchgeführt.
-Z, --selinux-user SEUSER
definiert den SELinux-Benutzer, der LOGIN zugeordnet werden soll. Eine leere Zeichenkette („“) entfernt den jeweiligen Eintrag (falls vorhanden). Beachten Sie, dass das Shadow-System den selinux-user nicht speichert, sondern semanage(8) dafür verwendet.
--selinux-range SERANGE
definiert den SELinux-MLS-Bereich für das neue Konto. Beachten Sie, dass das Shadow-System den selinux-range nicht speichert, sondern semanage(8) dafür verwendet.
Diese Option ist nur gültig, wenn die Option -Z (oder --selinux-user) angegeben ist.
VORSICHTSMASSNAHMEN
Sie müssen sicherstellen, dass der betreffende Benutzer keine Prozesse ausführt, wenn dieser Befehl ausgeführt wird, falls die numerische Benutzer-ID, der Benutzername oder das Home-Verzeichnis des Benutzers geändert werden. usermod überprüft dies unter Linux. Auf anderen Betriebssystemen wird nur utmp verwendet, um zu überprüfen, ob der Benutzer angemeldet ist.
Sie müssen alle Crontab-Dateien oder at-Jobs manuell ändern.
Alle Änderungen, die NIS betreffen, müssen auf dem NIS-Server vorgenommen werden.
KONFIGURATION
Die folgenden Konfigurationsvariablen in /etc/login.defs ändern das Verhalten dieses Tools:
LASTLOG_UID_MAX (Zahl)
Die höchste Benutzer-ID, für die die `lastlog`-Einträge aktualisiert werden sollen. Da höhere Benutzer-IDs in der Regel von Remote-Benutzer-Identitäts- und Authentifizierungsdiensten verfolgt werden, besteht keine Notwendigkeit, eine riesige, spärliche `lastlog`-Datei dafür zu erstellen.
Wenn die Option LASTLOG_UID_MAX nicht in der Konfiguration vorhanden ist, gibt es keine Benutzer-ID-Grenze für das Schreiben von lastlog-Einträgen.
MAIL_DIR (Zeichenfolge)
Das Mail-Spool-Verzeichnis. Dies ist erforderlich, um das Postfach zu manipulieren, wenn das entsprechende Benutzerkonto geändert oder gelöscht wird. Wenn nicht angegeben, wird ein zur Kompilierzeit festgelegter Standardwert verwendet. Der Parameter `CREATE_MAIL_SPOOL` in `/etc/default/useradd` bestimmt, ob das Mail-Spool erstellt werden soll.
MAIL_FILE (Zeichenfolge)
Definiert den Speicherort der Mail-Spool-Dateien der Benutzer relativ zu ihrem Home-Verzeichnis.
Die Variablen MAIL_DIR und MAIL_FILE werden von useradd, usermod und userdel verwendet, um das Mail-Spool des Benutzers zu erstellen, zu verschieben oder zu löschen.
MAX_MEMBERS_PER_GROUP (Zahl)
Maximale Anzahl von Mitgliedern pro Gruppen-Eintrag. Wenn das Maximum erreicht ist, wird ein neuer Gruppen-Eintrag (Zeile) in `/etc/group` gestartet (mit dem gleichen Namen, dem gleichen Passwort und der gleichen GID).
Der Standardwert ist 0, was bedeutet, dass es keine Beschränkung für die Anzahl der Mitglieder in einer Gruppe gibt.
Diese Funktion (geteilte Gruppe) ermöglicht es, die Länge der Zeilen in der Gruppen-Datei zu begrenzen. Dies ist nützlich, um sicherzustellen, dass die Zeilen für NIS-Gruppen nicht länger als 1024 Zeichen sind.
Wenn Sie eine solche Beschränkung erzwingen müssen, können Sie 25 verwenden.
Hinweis: Geteilte Gruppen werden möglicherweise nicht von allen Tools unterstützt (sogar nicht in der Shadow-Toolsuite). Sie sollten diese Variable nicht verwenden, es sei denn, Sie benötigen sie wirklich.
SUB_GID_MIN (Zahl), SUB_GID_MAX (Zahl), SUB_GID_COUNT (Zahl)
Wenn /etc/subuid existiert, weisen die Befehle useradd und newusers (es sei denn, der Benutzer verfügt bereits über untergeordnete Gruppen-IDs) jedem neuen Benutzer SUB_GID_COUNT unbenutzte Gruppen-IDs aus dem Bereich SUB_GID_MIN bis SUB_GID_MAX zu.
Die Standardwerte für SUB_GID_MIN, SUB_GID_MAX und SUB_GID_COUNT sind 100000, 600100000 bzw. 65536.
SUB_UID_MIN (Zahl), SUB_UID_MAX (Zahl), SUB_UID_COUNT (Zahl)
Wenn /etc/subuid existiert, weisen die Befehle useradd und newusers (es sei denn, der Benutzer verfügt bereits über untergeordnete Benutzer-IDs) jedem neuen Benutzer SUB_UID_COUNT unbenutzte Benutzer-IDs aus dem Bereich SUB_UID_MIN bis SUB_UID_MAX zu.
Die Standardwerte für SUB_UID_MIN, SUB_UID_MAX und SUB_UID_COUNT sind 100000, 600100000 bzw. 65536.
DATEIEN
/etc/group
Gruppenkonto-Informationen
/etc/gshadow
Sichere Gruppenkonto-Informationen
/etc/login.defs
Konfiguration der Shadow-Passwort-Suite
/etc/passwd
Benutzerkonto-Informationen
/etc/shadow
Sichere Benutzerkonto-Informationen
/etc/subgid
Benutzerspezifische untergeordnete Gruppen-IDs
/etc/subuid
Benutzerspezifische untergeordnete Benutzer-IDs
SIEHE AUCH
chfn(1), chsh(1), passwd(1), crypt(3), gpasswd(8), groupadd(8), groupdel(8), groupmod(8), login.defs(5), subgid(5), subuid(5), useradd(8), userdel(8).