Aufmacher

Zutritt erlaubt!

Chmod, Chgrp und Chown

01.03.2007
Ein ausgefeiltes Benutzer- und Rechtesystem regelt unter Linux präzise, wer Zugriff worauf erhält. Die Besitzverhältnisse regeln Sie auf der Kommandozeile mit den Werkzeugen Chmod, Chgrp und Chown an.

Detailliert geregelte Zugriffsrechte für Dateien und Verzeichnisse machen Linux zu einem besonders sicheren Betriebssystem: Wenn genau festgelegt ist, wer Daten lesen, verändern oder bestimmte Programme ausführen darf, bietet das einen guten Schutz vor neugierigen Augen und versehentlich (oder absichtlich) herbeigeführten Fehlkonfigurationen.

Der Administrator root darf alles und verteilt die Rechte zum Lesen, Schreiben und Ausführen an die anderen Benutzer – systemweit. Sind Sie Eigentümer von Dateien oder Verzeichnissen, dann geben Sie diese bei Bedarf für andere Accounts frei. Gehören Sie als Mitglied zu einer bestimmten Benutzergruppe, dürfen Sie darüber hinaus die Gruppenzugehörigkeit von eigenen Dateien und Ordnern setzen und damit noch gezielter Dateien freigeben.

Von Rechten und Pflichten

Für jede Datei (und damit auch für Verzeichnisse, Gerätedateien und so weiter) ist unter Linux genau festgelegt, wer sie lesen, schreiben und ausführen darf. Jede Datei gehört darüber hinaus einem Benutzer sowie zu einer Gruppe. Für diese beiden Kategorien – sowie für Benutzer, die in keine der beiden fallen – werden die drei Rechte gesondert verteilt:

  • Leserecht: Benutzer dürfen den Inhalt einer Datei oder eines Ordners am Bildschirm anzeigen, kopieren und anderes mehr.
  • Schreibrecht: Dateien und Verzeichnisse dürfen verändert und die Änderungen gespeichert werden. Außerdem ist das Löschen erlaubt.
  • Ausführrecht: Für Programme heißt das, dass man sie ausführen darf. Das Ausführrecht für Verzeichnisse hingegen bedeutet, dass Benutzer in diese hineinwechseln dürfen. (Zusätzlich muss hier Leseerlaubnis bestehen, damit Benutzer den Inhalt des Ordners betrachten dürfen.)

Welche Zugriffsrechte für eine Datei gelten, erfahren Sie entweder in grafischen Dateimanagern wie Konqueror oder Nautilus, wenn Sie auf die detaillierte Ordner- bzw. Listenansicht umschalten, oder auf der Kommandozeile, indem Sie dem Befehl ls die Option -l mit auf den Weg geben (Abbildung 1).

Bei beiden Varianten sehen Sie die Rechte jeweils durch die Buchstaben r ("read" = lesen), w ("write" = schreiben) und x ("execute" = ausführen) repräsentiert: Die erste Dreiergruppe zeigt die Rechte des Eigentümers, die zweite die der Gruppe und die dritte die für alle anderen Benutzer. Ordner erkennen Sie durch ein vorangestelltes d ("directory" = Verzeichnis).

Darüber hinaus zeigen sowohl das Shellkommando als auch der Dateimanager den Besitzer und die Gruppenzugehörigkeit der Daten an: Die meisten Dateien in Abbildung 1 gehören dem Benutzer und der Gruppe petronella. Lediglich das Verzeichnis musik gehört zur Gruppe audio und lässt sich von Mitgliedern dieser Gruppe nicht nur lesen, sondern auch schreiben.

Abbildung 1: Die Zugriffsrechte können Sie sowohl mit Dateimanagern als auch auf der Shell mit ls -l einblenden.

Spezialrechte: s- und t-Bits

Unter Linux gibt es zudem zwei Spezialrechte, das s-Bit (auch Setuid/Setgid-Bit genannt) und das t-Bit (auch Sticky-Bit genannt). Beide ersetzen in der Dreiergruppe rwx das x: Das s-Bit taucht in der Regel bei ausführbaren Dateien auf, das t-Bit kommt hingegen meistens bei Verzeichnissen zum Einsatz.

Wie der Name Setuid/Setgid-Bit (Set User ID respektive Set Group ID) vermuten lässt, sorgt dieses Zugriffsbit dafür, dass das Programm mit den Rechten des Benutzers oder der Gruppe läuft – egal, wer das Programm ausführt. Auf diese Weise erhalten unprivilegierte Benutzer Zugriff auf Dinge, die ihnen normalerweise verwehrt blieben. Das stellt zwar ein potenzielles Sicherheitsrisiko dar, dennoch hat das s-Bit aber durchaus seine Berechtigung; Viele Programme, darunter su, sudo, mount oder wie im folgenden Beispiel passwd benötigen das s-Bit:

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 27132 Jul 11 20:06 /usr/bin/passwd*

Das Programm passwd ändert Kennwörter und greift dabei schreibend auf die Datei /etc/shadow zu, um dort das neue Passwort einzutragen. Standardmäßig ist diese Datei vor Schreibzugriffen unprivilegierter Nutzer geschützt und darf lediglich vom Administrator geschrieben werden, da sonst jeder User sämtliche Benutzerkennwörter manipulieren könnte. Das s-Bit sorgt nun dafür, dass das Programm passwd mit der Benutzerkennung root läuft und im "Auftrag des Administrators" das neue Kennwort in /etc/shadow einträgt.

Das andere Sonderrecht, das t-Bit, taucht in der Regel bei gemeinsam genutzten Verzeichnissen (lesen, schreiben und ausführen für alle) anstelle des Execute-Flags auf und sorgt in diesem Fall dafür, dass Benutzer nur eigene Daten verändern und damit auch löschen dürfen. In der Regel ist das Sticky-Bit für /tmp gesetzt:

$ ls -ld /tmp
drwxrwxrwt 16 root root 4096 Jan 28 19:51 /tmp/

Der Ordner /tmp beherbergt temporäre Dateien mehrerer Benutzer. Ließen sich diese von jedermann lesen, schreiben und ausführen, dürfte theoretisch jeder andere Benutzer des Systems dort gründlich aufräumen und beliebige Daten löschen. Das t-Bit verhindert das und stellt sicher, dass Benutzer nur ihre eigenen Dateien (oder solche, für die sie eine Schreiberlaubnis haben) entfernen können. Einzige Ausnahme: Wenn Sie der Besitzer eines Ordners mit Sticky-Bit sind, dürfen Sie dort auch löschen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • chmod, chown, chgrp und umask
    Hände weg von fremden Dateien: Dank eines ausgefeilten Rechte-Systems können Sie unter Linux Ihre Dateien für andere Benutzer freigeben oder sperren. Dazu setzen Sie entweder Kommandos wie chmod und chgrp ein oder legen schon im Vorfeld mit umask fest, wer was darf.
  • Zu Befehl
    Auch wenn sich viele Dinge bequem über grafische Oberflächen wie KDE oder GNOME regeln lassen – wer sein Linux-System richtig ausreizen möchte, kommt um die Kommandozeile nicht herum. Abgesehen davon gibt es auch sonst viele Situationen, wo es gut ist, sich im Befehlszeilendschungel ein wenig auszukennen.
  • Sticky, SUID, SGID – Sonderrechte für Dateien und Verzeichnisse
    Lese-, Schreib- und Ausführungsrecht: Soweit erklärt jedes Unix/Linux-Lehrbuch, was es mit Dateirechten auf sich hat. Doch es gibt noch mehr, zum Beispiel das berüchtigte SUID-Bit.
  • Zugangskontrolle
    Linux ist simpel: Alles ist eine Datei – und wer was damit tun darf, legt man einfach über die Dateiberechtigungen fest.
  • Rex 0.8 kann mehr - kennt Mageia

    Rex, ein Tool zum Konfigurationsmanagement und Software-Deployment auf Servern, ist in Version 0.8.0 mit neuen Features verfügbar.
Kommentare

Infos zur Publikation

LU 02/2016: Alt-PCs flott machen

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Der Tipp der Woche

Schon gewußt?

14.11.2015

Auch unter Ubuntu 15.10 kann man wieder mit dem Startmedienersteller (alias Startup Disk Creator) ein Live-System auf einem USB-Stick einrichten. ...

Fehler des Startmedienerstellers von Ubuntu 15.10 umgehen

Aktuelle Fragen

Leap 42.1 und LibreOffice
Heinz Kolbe, 09.02.2016 21:54, 0 Antworten
Moin moin, auf meinem Notebook habe ich Leap 42.1 und Win 10 installiert. Alles läuft rund nur...
Tails Update
Val Lerie, 11.01.2016 10:51, 0 Antworten
Hallo zusammen, updaten > update Speichern unter > Persistent nicht möglich, mit der Meldung;...
Recoll
Jürgen Heck, 20.12.2015 18:13, 4 Antworten
Wie kann man mit Recoll nach bestimmten Zeichen/Satzzeichen bzw. Zeichenkombinationen suchen, z....
Wings Platinum 4 auf Linux?
Bodo Steguweit, 18.12.2015 11:37, 4 Antworten
Hallo in die Runde ich nutze für meine Diashows Wings Platinum 4 als Diareferent. Arbeite jetzt...
Bandbreite regulieren
Georg Armani, 25.11.2015 16:50, 1 Antworten
Hallo, ich bin ein Neuling in Sachen Linux und hoffe auf Hilfe. Ich habe zwei Windows Rechner...