Berechtigungen¶
Un detaillierter Liste (ls -l
)die Berechtigungen r
(read), w (write), x (eXecute) für
u - Benutzer/Besitzer (u - user),
g - Gruppe (g - group) und
o - „alle Anderen“ (o - others) hergeleitet,
Standard-Berechtigungen ergeben sich (per default bzw. umask) in der (oktalen) Form 755 (für Ordner) und 644 für Dateien.
Bis hierhin: technisch 3 mal 3 Bit = 9 Bit für Berechtigungen
Hinweis
umask
(z.B. openSUSE: 0 022) mit
Standardberechtigungen für Ordner (777 - 022 = 755)
und Dateien (666 - 022 = 644)
Hier mal wieder ein Scribble aus einem meiner Seminare:
Befehl chown (bzw. chgrp) zum Ändern von Besitzer und/oder Gruppe
chown -R wwwrun:wwwrun /var/www/html
(Ordner html für Apache2 User:Gruppe konfigurieren)
Anm.: chown kann auch einfach Gruppe setzen mit chown :groupname
Befehl chmod
eingeführt und nachrecherchiert - Beispiele chmod:
chmod -R 750 testordner
(Ordner testordner rekursiv auf 750)
chmod u+x skript.sh
(Datei skript.sh für Benutzer/Besitzer ausführbar machen)
Alternative: Berechtigungen mittels Eigenschaften Dialogfenster mit Dateimanager (z.B. Dolphin - Rechte Maus - Eigenschaften)
Übung mit „chmod“ bzw. Dateiberechtigungen über Dateimanager und Eigenschaften:
Ordner /home/donnerstag
mit Berechtigungen 750 und 700 ausstatten,
und Tests mit ls mit anderen Usern (joeb, mittwoch)
Für chmod
(Change Modus) an Unterordnern muss -R
(Achtung: hier großes R für –recursive) gesetzt werden.
Beim Dateimanager (siehe z.B. Dolphin) muss ein Haken für das Anwenden auf die Unterordner aktiviert werden.
Sonder-Berechtigungen: ergeben zusätzliche 3 Bit Berechtigungen!
SetUID:
chmod 4...
oderchmod u+s
SetGID:
chmod 2...
oderchmod g+s
Sticky-Bit:
chmod 1...
oderchmod o+t
Beispiel: SetUserId-Bit bei Passwortänderungstool passwd
:
(siehe Besitzer: root)
- rwsr----- root shadow /usr/bin/passwd
Erklärung / Sinn:
Auch normale User müssen Passworte für sich wechseln können -
dazu braucht man aber Schreibzugriffe
(root) auf Passwort-Datei /etc/shadow
!
Gefahr
Beachten: Sicherheitsprobleme möglich mit
SetUID! SEC-Audit: find / -perm -4000
SetGroupId-Bit: dasselbe Verhalten bei Ausführung von Programmen mit Gruppen-Rechte-Übernahme
Beispiel Sticky-Bit mit Temporärordner /tmp
:
d rwxrwxrwt root root /tmp
Erklärung / Sinn:
Der Temp-Ordner für Alle - im wahrsten Sinne. Aber durch Sticky-Bit
werden Dateien/Ordner-Berechtigungen und Besitz/Gruppe mit in den
Ordner /tmp transportiert und sind so gegen die anderen Nutzer von
/tmp
schützbar