Aufmacher

Zutritt erlaubt!

Chmod, Chgrp und Chown

01.03.2007
Ein ausgefeiltes Benutzer- und Rechtesystem regelt unter Linux präzise, wer Zugriff worauf erhält. Die Besitzverhältnisse regeln Sie auf der Kommandozeile mit den Werkzeugen Chmod, Chgrp und Chown an.

Detailliert geregelte Zugriffsrechte für Dateien und Verzeichnisse machen Linux zu einem besonders sicheren Betriebssystem: Wenn genau festgelegt ist, wer Daten lesen, verändern oder bestimmte Programme ausführen darf, bietet das einen guten Schutz vor neugierigen Augen und versehentlich (oder absichtlich) herbeigeführten Fehlkonfigurationen.

Der Administrator root darf alles und verteilt die Rechte zum Lesen, Schreiben und Ausführen an die anderen Benutzer – systemweit. Sind Sie Eigentümer von Dateien oder Verzeichnissen, dann geben Sie diese bei Bedarf für andere Accounts frei. Gehören Sie als Mitglied zu einer bestimmten Benutzergruppe, dürfen Sie darüber hinaus die Gruppenzugehörigkeit von eigenen Dateien und Ordnern setzen und damit noch gezielter Dateien freigeben.

Von Rechten und Pflichten

Für jede Datei (und damit auch für Verzeichnisse, Gerätedateien und so weiter) ist unter Linux genau festgelegt, wer sie lesen, schreiben und ausführen darf. Jede Datei gehört darüber hinaus einem Benutzer sowie zu einer Gruppe. Für diese beiden Kategorien – sowie für Benutzer, die in keine der beiden fallen – werden die drei Rechte gesondert verteilt:

  • Leserecht: Benutzer dürfen den Inhalt einer Datei oder eines Ordners am Bildschirm anzeigen, kopieren und anderes mehr.
  • Schreibrecht: Dateien und Verzeichnisse dürfen verändert und die Änderungen gespeichert werden. Außerdem ist das Löschen erlaubt.
  • Ausführrecht: Für Programme heißt das, dass man sie ausführen darf. Das Ausführrecht für Verzeichnisse hingegen bedeutet, dass Benutzer in diese hineinwechseln dürfen. (Zusätzlich muss hier Leseerlaubnis bestehen, damit Benutzer den Inhalt des Ordners betrachten dürfen.)

Welche Zugriffsrechte für eine Datei gelten, erfahren Sie entweder in grafischen Dateimanagern wie Konqueror oder Nautilus, wenn Sie auf die detaillierte Ordner- bzw. Listenansicht umschalten, oder auf der Kommandozeile, indem Sie dem Befehl ls die Option -l mit auf den Weg geben (Abbildung 1).

Bei beiden Varianten sehen Sie die Rechte jeweils durch die Buchstaben r ("read" = lesen), w ("write" = schreiben) und x ("execute" = ausführen) repräsentiert: Die erste Dreiergruppe zeigt die Rechte des Eigentümers, die zweite die der Gruppe und die dritte die für alle anderen Benutzer. Ordner erkennen Sie durch ein vorangestelltes d ("directory" = Verzeichnis).

Darüber hinaus zeigen sowohl das Shellkommando als auch der Dateimanager den Besitzer und die Gruppenzugehörigkeit der Daten an: Die meisten Dateien in Abbildung 1 gehören dem Benutzer und der Gruppe petronella. Lediglich das Verzeichnis musik gehört zur Gruppe audio und lässt sich von Mitgliedern dieser Gruppe nicht nur lesen, sondern auch schreiben.

Abbildung 1: Die Zugriffsrechte können Sie sowohl mit Dateimanagern als auch auf der Shell mit ls -l einblenden.

Spezialrechte: s- und t-Bits

Unter Linux gibt es zudem zwei Spezialrechte, das s-Bit (auch Setuid/Setgid-Bit genannt) und das t-Bit (auch Sticky-Bit genannt). Beide ersetzen in der Dreiergruppe rwx das x: Das s-Bit taucht in der Regel bei ausführbaren Dateien auf, das t-Bit kommt hingegen meistens bei Verzeichnissen zum Einsatz.

Wie der Name Setuid/Setgid-Bit (Set User ID respektive Set Group ID) vermuten lässt, sorgt dieses Zugriffsbit dafür, dass das Programm mit den Rechten des Benutzers oder der Gruppe läuft – egal, wer das Programm ausführt. Auf diese Weise erhalten unprivilegierte Benutzer Zugriff auf Dinge, die ihnen normalerweise verwehrt blieben. Das stellt zwar ein potenzielles Sicherheitsrisiko dar, dennoch hat das s-Bit aber durchaus seine Berechtigung; Viele Programme, darunter su, sudo, mount oder wie im folgenden Beispiel passwd benötigen das s-Bit:

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 27132 Jul 11 20:06 /usr/bin/passwd*

Das Programm passwd ändert Kennwörter und greift dabei schreibend auf die Datei /etc/shadow zu, um dort das neue Passwort einzutragen. Standardmäßig ist diese Datei vor Schreibzugriffen unprivilegierter Nutzer geschützt und darf lediglich vom Administrator geschrieben werden, da sonst jeder User sämtliche Benutzerkennwörter manipulieren könnte. Das s-Bit sorgt nun dafür, dass das Programm passwd mit der Benutzerkennung root läuft und im "Auftrag des Administrators" das neue Kennwort in /etc/shadow einträgt.

Das andere Sonderrecht, das t-Bit, taucht in der Regel bei gemeinsam genutzten Verzeichnissen (lesen, schreiben und ausführen für alle) anstelle des Execute-Flags auf und sorgt in diesem Fall dafür, dass Benutzer nur eigene Daten verändern und damit auch löschen dürfen. In der Regel ist das Sticky-Bit für /tmp gesetzt:

$ ls -ld /tmp
drwxrwxrwt 16 root root 4096 Jan 28 19:51 /tmp/

Der Ordner /tmp beherbergt temporäre Dateien mehrerer Benutzer. Ließen sich diese von jedermann lesen, schreiben und ausführen, dürfte theoretisch jeder andere Benutzer des Systems dort gründlich aufräumen und beliebige Daten löschen. Das t-Bit verhindert das und stellt sicher, dass Benutzer nur ihre eigenen Dateien (oder solche, für die sie eine Schreiberlaubnis haben) entfernen können. Einzige Ausnahme: Wenn Sie der Besitzer eines Ordners mit Sticky-Bit sind, dürfen Sie dort auch löschen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • chmod, chown, chgrp und umask
    Hände weg von fremden Dateien: Dank eines ausgefeilten Rechte-Systems können Sie unter Linux Ihre Dateien für andere Benutzer freigeben oder sperren. Dazu setzen Sie entweder Kommandos wie chmod und chgrp ein oder legen schon im Vorfeld mit umask fest, wer was darf.
  • Zu Befehl
    Auch wenn sich viele Dinge bequem über grafische Oberflächen wie KDE oder GNOME regeln lassen – wer sein Linux-System richtig ausreizen möchte, kommt um die Kommandozeile nicht herum. Abgesehen davon gibt es auch sonst viele Situationen, wo es gut ist, sich im Befehlszeilendschungel ein wenig auszukennen.
  • Sticky, SUID, SGID – Sonderrechte für Dateien und Verzeichnisse
    Lese-, Schreib- und Ausführungsrecht: Soweit erklärt jedes Unix/Linux-Lehrbuch, was es mit Dateirechten auf sich hat. Doch es gibt noch mehr, zum Beispiel das berüchtigte SUID-Bit.
  • Zugangskontrolle
    Linux ist simpel: Alles ist eine Datei – und wer was damit tun darf, legt man einfach über die Dateiberechtigungen fest.
  • Screen
    Machen Sie der Konsole Ihre Aufwartung – anstelle vieler einzelner Terminals verwalten Sie alle wichtigen Kommandozeilenprogramme in nur einem Programmfenster. Wer mag, lädt andere Benutzer zu Besuch ein und schmückt das Fenster ansprechend.
Kommentare

Infos zur Publikation

title_2014_10

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...