Zutritt erlaubt!

Detailliert geregelte Zugriffsrechte für Dateien und Verzeichnisse machen Linux zu einem besonders sicheren Betriebssystem: Wenn genau festgelegt ist, wer Daten lesen, verändern oder bestimmte Programme ausführen darf, bietet das einen guten Schutz vor neugierigen Augen und versehentlich (oder absichtlich) herbeigeführten Fehlkonfigurationen.

Der Administrator root darf alles und verteilt die Rechte zum Lesen, Schreiben und Ausführen an die anderen Benutzer – systemweit. Sind Sie Eigentümer von Dateien oder Verzeichnissen, dann geben Sie diese bei Bedarf für andere Accounts frei. Gehören Sie als Mitglied zu einer bestimmten Benutzergruppe, dürfen Sie darüber hinaus die Gruppenzugehörigkeit von eigenen Dateien und Ordnern setzen und damit noch gezielter Dateien freigeben.

Von Rechten und Pflichten

Für jede Datei (und damit auch für Verzeichnisse, Gerätedateien und so weiter) ist unter Linux genau festgelegt, wer sie lesen, schreiben und ausführen darf. Jede Datei gehört darüber hinaus einem Benutzer sowie zu einer Gruppe. Für diese beiden Kategorien – sowie für Benutzer, die in keine der beiden fallen – werden die drei Rechte gesondert verteilt:

• Leserecht: Benutzer dürfen den Inhalt einer Datei oder eines Ordners am Bildschirm anzeigen, kopieren und anderes mehr.
• Schreibrecht: Dateien und Verzeichnisse dürfen verändert und die Änderungen gespeichert werden. Außerdem ist das Löschen erlaubt.
• Ausführrecht: Für Programme heißt das, dass man sie ausführen darf. Das Ausführrecht für Verzeichnisse hingegen bedeutet, dass Benutzer in diese hineinwechseln dürfen. (Zusätzlich muss hier Leseerlaubnis bestehen, damit Benutzer den Inhalt des Ordners betrachten dürfen.)

Welche Zugriffsrechte für eine Datei gelten, erfahren Sie entweder in grafischen Dateimanagern wie Konqueror oder Nautilus, wenn Sie auf die detaillierte Ordner- bzw. Listenansicht umschalten, oder auf der Kommandozeile, indem Sie dem Befehl ls die Option -l mit auf den Weg geben (Abbildung 1).

Bei beiden Varianten sehen Sie die Rechte jeweils durch die Buchstaben r ("read" = lesen), w ("write" = schreiben) und x ("execute" = ausführen) repräsentiert: Die erste Dreiergruppe zeigt die Rechte des Eigentümers, die zweite die der Gruppe und die dritte die für alle anderen Benutzer. Ordner erkennen Sie durch ein vorangestelltes d ("directory" = Verzeichnis).

Darüber hinaus zeigen sowohl das Shellkommando als auch der Dateimanager den Besitzer und die Gruppenzugehörigkeit der Daten an: Die meisten Dateien in Abbildung 1 gehören dem Benutzer und der Gruppe petronella. Lediglich das Verzeichnis musik gehört zur Gruppe audio und lässt sich von Mitgliedern dieser Gruppe nicht nur lesen, sondern auch schreiben.

Abbildung 1: Die Zugriffsrechte können Sie sowohl mit Dateimanagern als auch auf der Shell mit ls -l einblenden.

Spezialrechte: s- und t-Bits

Unter Linux gibt es zudem zwei Spezialrechte, das s-Bit (auch Setuid/Setgid-Bit genannt) und das t-Bit (auch Sticky-Bit genannt). Beide ersetzen in der Dreiergruppe rwx das x: Das s-Bit taucht in der Regel bei ausführbaren Dateien auf, das t-Bit kommt hingegen meistens bei Verzeichnissen zum Einsatz.

Wie der Name Setuid/Setgid-Bit (Set User ID respektive Set Group ID) vermuten lässt, sorgt dieses Zugriffsbit dafür, dass das Programm mit den Rechten des Benutzers oder der Gruppe läuft – egal, wer das Programm ausführt. Auf diese Weise erhalten unprivilegierte Benutzer Zugriff auf Dinge, die ihnen normalerweise verwehrt blieben. Das stellt zwar ein potenzielles Sicherheitsrisiko dar, dennoch hat das s-Bit aber durchaus seine Berechtigung; Viele Programme, darunter su, sudo, mount oder wie im folgenden Beispiel passwd benötigen das s-Bit:

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 27132 Jul 11 20:06 /usr/bin/passwd*

Das Programm passwd ändert Kennwörter und greift dabei schreibend auf die Datei /etc/shadow zu, um dort das neue Passwort einzutragen. Standardmäßig ist diese Datei vor Schreibzugriffen unprivilegierter Nutzer geschützt und darf lediglich vom Administrator geschrieben werden, da sonst jeder User sämtliche Benutzerkennwörter manipulieren könnte. Das s-Bit sorgt nun dafür, dass das Programm passwd mit der Benutzerkennung root läuft und im "Auftrag des Administrators" das neue Kennwort in /etc/shadow einträgt.

Das andere Sonderrecht, das t-Bit, taucht in der Regel bei gemeinsam genutzten Verzeichnissen (lesen, schreiben und ausführen für alle) anstelle des Execute-Flags auf und sorgt in diesem Fall dafür, dass Benutzer nur eigene Daten verändern und damit auch löschen dürfen. In der Regel ist das Sticky-Bit für /tmp gesetzt:

$ ls -ld /tmp
drwxrwxrwt 16 root root 4096 Jan 28 19:51 /tmp/

Der Ordner /tmp beherbergt temporäre Dateien mehrerer Benutzer. Ließen sich diese von jedermann lesen, schreiben und ausführen, dürfte theoretisch jeder andere Benutzer des Systems dort gründlich aufräumen und beliebige Daten löschen. Das t-Bit verhindert das und stellt sicher, dass Benutzer nur ihre eigenen Dateien (oder solche, für die sie eine Schreiberlaubnis haben) entfernen können. Einzige Ausnahme: Wenn Sie der Besitzer eines Ordners mit Sticky-Bit sind, dürfen Sie dort auch löschen.