Gebruikersrechten beperken op Linux (sudoers, groups)

(Geef gebruikers alleen de rechten die ze absoluut nodig hebben)

Het root-account heeft alle macht op een Linux-systeem. Het is een slechte gewoonte om altijd als root te werken. Creëer in plaats daarvan normale gebruikers en geef ze via sudo beperkte, specifieke rechten.

1. Een nieuwe gebruiker aanmaken

  • Maak een nieuwe gebruiker aan (vervang gebruikersnaam):

    sudo adduser gebruikersnaam

  • Volg de stappen om een sterk wachtwoord en eventuele extra informatie in te stellen.

2. Gebruiker toevoegen aan de sudo-groep

  • De makkelijkste manier om een gebruiker beheerdersrechten te geven, is door hem toe te voegen aan de sudo-groep (of wheel op CentOS):

    sudo usermod -aG sudo gebruikersnaam

    -a: Voegt toe (append)
    -G: Specificeert de groep

  • De gebruiker kan nu commando’s uitvoeren als root door sudo ervoor te zetten (bijv. sudo apt update). Hij moet dan zijn eigen wachtwoord invoeren.

3. Toegang verfijnen met het sudoers-bestand (voor gevorderden)

  • Voor meer controle kun je specifieke commando’s toestaan zonder een gebruiker volledige sudo-toegang te geven.

  • Bewerk dit bestand altijd met visudo om syntaxfouten te voorkomen:

    sudo visudo

  • Voeg een regel toe aan het einde van het bestand:

    • Voorbeeld 1: Sta een gebruiker toe om alleen de webserver te herstarten:

      gebruikersnaam ALL=(ALL) /bin/systemctl restart nginx

    • Voorbeeld 2: Sta toe dat de webserver wordt herstart zonder wachtwoord:

      gebruikersnaam ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx

4. Bestandspermissies en groepen

  • Je kunt bestandsrechten beheren door gebruikers in groepen te plaatsen. Bijvoorbeeld, om meerdere gebruikers toegang te geven tot de webmap /var/www/html:

  • Stel de eigenaar van de map in op de www-data-groep (de groep van de webserver):

    sudo chown -R :www-data /var/www/html

  • Geef de groep schrijfrechten:

    sudo chmod -R g+w /var/www/html

  • Voeg je gebruiker toe aan de www-data-groep:

    sudo usermod -aG www-data gebruikersnaam

  • De gebruiker moet opnieuw inloggen om de nieuwe groepsrechten te krijgen.

Samenvatting

  • Gebruik normale gebruikersaccounts in plaats van root

  • Beperk sudo-toegang tot wat echt nodig is

  • Gebruik visudo voor veilige configuratie

  • Beheer bestandsrechten via groepen

Tip: Gebruik het principe van “Least Privilege”. Begin met het geven van nul extra rechten en voeg alleen de specifieke permissies toe die een gebruiker nodig heeft om zijn taak uit te voeren.

Hulp nodig? Als je een fout hebt gemaakt in het sudoers-bestand en sudo werkt niet meer, log dan in als root via de VNC-console om het te herstellen met visudo.

Was dit antwoord nuttig? 0 gebruikers vonden dit artikel nuttig (0 Stemmen)

Meest populaire

SSH beveiligen met sleutels in plaats van wachtwoorden

SSH beveiligen met sleutels in plaats van wachtwoorden (Verhoog je veiligheid en log makkelijker...
Root-login uitschakelen voor extra veiligheid

Root-login en wachtwoord-authenticatie uitschakelen (Maximaliseer je SSH-veiligheid) Nadat je...
Automatische beveiligingsupdates instellen

Automatische beveiligingsupdates instellen (Houd je systeem veilig zonder er constant aan te...
Fail2Ban installeren tegen brute-force aanvallen

Fail2Ban installeren tegen brute-force aanvallen (Blokkeer automatisch IP-adressen die te vaak...
Firewall configureren met UFW of iptables

Firewall configureren met UFW of iptables (De basis van netwerkbeveiliging: controleer wat er in...

Powered by WHMCompleteSolution