Willkommen zu einer umfassenden Anleitung zum Thema Datei- und Ordnerberechtigungen in Linux. Ein tiefes Verständnis dieser Berechtigungen ist essentiell für jeden Linux-Benutzer, vom Anfänger bis zum erfahrenen Systemadministrator. Eine korrekte Konfiguration sichert nicht nur Ihre Daten, sondern trägt auch maßgeblich zur Systemstabilität und -sicherheit bei. In diesem Artikel werden wir die Grundlagen der Berechtigungen untersuchen, fortgeschrittene Techniken zur Anpassung erlernen und bewährte Verfahren zur Sicherung Ihrer Zugriffsrechte implementieren – alles über die Kommandozeile.
Grundlagen der Linux-Berechtigungen
In Linux ist jede Datei und jeder Ordner mit einer Reihe von Berechtigungen ausgestattet, die bestimmen, wer was mit ihnen tun darf. Diese Berechtigungen werden in drei Kategorien unterteilt:
- Besitzer (User): Die Person, die die Datei oder den Ordner besitzt.
- Gruppe (Group): Eine Gruppe von Benutzern, die gemeinsame Zugriffsrechte haben.
- Andere (Others): Alle Benutzer, die weder der Besitzer noch Mitglied der Gruppe sind.
Für jede dieser Kategorien gibt es drei Arten von Berechtigungen:
- Lesen (Read): Erlaubt das Anzeigen des Inhalts einer Datei oder das Auflisten der Dateien in einem Ordner.
- Schreiben (Write): Erlaubt das Ändern des Inhalts einer Datei oder das Erstellen, Löschen oder Umbenennen von Dateien in einem Ordner.
- Ausführen (Execute): Erlaubt das Ausführen einer Datei (wenn es sich um ein ausführbares Programm handelt) oder den Zugriff auf einen Ordner (erforderlich, um auf Dateien innerhalb des Ordners zuzugreifen).
Die magische Welt von ls -l
Der Befehl ls -l ist Ihr bester Freund, wenn es darum geht, Datei- und Ordnerberechtigungen zu inspizieren. Wenn Sie diesen Befehl in der Kommandozeile eingeben, erhalten Sie eine detaillierte Ausgabe, die Informationen wie Berechtigungen, Anzahl der Hardlinks, Besitzer, Gruppe, Dateigröße, Änderungsdatum und Dateiname anzeigt.
Die Berechtigungszeichenkette besteht aus zehn Zeichen. Das erste Zeichen gibt den Dateityp an (z.B. - für eine reguläre Datei, d für ein Verzeichnis, l für einen symbolischen Link). Die nächsten neun Zeichen repräsentieren die Berechtigungen für Besitzer, Gruppe und Andere in der Reihenfolge (jeweils drei Zeichen). Zum Beispiel:
-rw-r--r-- 1 user group 1024 Jan 1 10:00 myfile.txtIn diesem Beispiel bedeutet -rw-r--r--:
-: Es handelt sich um eine reguläre Datei.rw-: Der Besitzer hat Lese- und Schreibrechte.r--: Die Gruppe hat Leserechte.r--: Andere haben Leserechte.
Berechtigungen ändern mit chmod
Der Befehl chmod (change mode) ist das Werkzeug der Wahl, um Datei- und Ordnerberechtigungen zu ändern. Es gibt zwei Hauptmethoden, um chmod zu verwenden: die symbolische Methode und die numerische (oktale) Methode.
Symbolische Methode
Die symbolische Methode verwendet Buchstaben, um die Berechtigungen anzugeben. Die wichtigsten Symbole sind:
u: Besitzer (User)g: Gruppe (Group)o: Andere (Others)a: Alle (All) (Besitzer, Gruppe und Andere)+: Hinzufügen einer Berechtigung-: Entfernen einer Berechtigung=: Setzen der Berechtigung auf den angegebenen Wert (alle anderen Berechtigungen werden entfernt)r: Lesenw: Schreibenx: Ausführen
Beispiele:
chmod u+x myfile.sh: Fügt dem Besitzer die Ausführungsberechtigung fürmyfile.shhinzu.chmod g-w myfile.txt: Entfernt die Schreibberechtigung für die Gruppe fürmyfile.txt.chmod a=r file.txt: Setzt die Berechtigungen für alle (Besitzer, Gruppe und Andere) auf nur Leserechte.
Numerische (Oktale) Methode
Die numerische Methode ist präziser und wird oft bevorzugt. Jede Berechtigung wird durch eine Zahl repräsentiert:
r(Lesen): 4w(Schreiben): 2x(Ausführen): 1
Um die Berechtigungen für eine Kategorie zu bestimmen, addieren Sie einfach die entsprechenden Zahlen. Zum Beispiel:
rwx: 4 + 2 + 1 = 7rw-: 4 + 2 + 0 = 6r-x: 4 + 0 + 1 = 5r--: 4 + 0 + 0 = 4--x: 0 + 0 + 1 = 1---: 0 + 0 + 0 = 0
Sie geben die Berechtigungen für Besitzer, Gruppe und Andere in dieser Reihenfolge an. Zum Beispiel:
chmod 755 myfile.sh: Besitzer hat Lese-, Schreib- und Ausführungsrechte (7), Gruppe hat Lese- und Ausführungsrechte (5), Andere haben Lese- und Ausführungsrechte (5).chmod 644 myfile.txt: Besitzer hat Lese- und Schreibrechte (6), Gruppe hat Leserechte (4), Andere haben Leserechte (4).
Achtung: Die numerische Methode setzt die Berechtigungen auf genau die angegebenen Werte. Sie addiert oder entfernt keine Berechtigungen wie die symbolische Methode.
Besitzer und Gruppe ändern mit chown und chgrp
Neben den Berechtigungen können Sie auch den Besitzer und die Gruppe einer Datei oder eines Ordners ändern. Dies ist besonders nützlich, wenn Dateien von verschiedenen Benutzern gemeinsam genutzt werden müssen.
chown (change owner)
Der Befehl chown ändert den Besitzer einer Datei oder eines Ordners. Sie benötigen normalerweise Root-Rechte (oder sudo), um den Besitzer zu ändern.
Beispiele:
sudo chown newuser myfile.txt: Ändert den Besitzer vonmyfile.txtzunewuser.sudo chown newuser:newgroup myfile.txt: Ändert den Besitzer zunewuserund die Gruppe zunewgroup.sudo chown :newgroup myfile.txt: Ändert nur die Gruppe zunewgroup(der Besitzer bleibt unverändert).
chgrp (change group)
Der Befehl chgrp ändert die Gruppe einer Datei oder eines Ordners. Auch hier benötigen Sie normalerweise Root-Rechte (oder sudo), oder Sie müssen Mitglied der neuen Gruppe sein.
Beispiel:
sudo chgrp newgroup myfile.txt: Ändert die Gruppe vonmyfile.txtzunewgroup.
Rekursives Anwenden von Berechtigungen
Um Berechtigungen auf alle Dateien und Unterordner innerhalb eines Ordners anzuwenden, verwenden Sie die Option -R (rekursiv) mit chmod, chown oder chgrp.
Beispiele:
sudo chmod -R 755 myfolder: Setzt die Berechtigungen für alle Dateien und Ordner innerhalb vonmyfolderrekursiv auf 755.sudo chown -R newuser:newgroup myfolder: Ändert den Besitzer und die Gruppe für alle Dateien und Ordner innerhalb vonmyfolderrekursiv.
Wichtig: Seien Sie vorsichtig, wenn Sie die rekursive Option verwenden, da Sie unbeabsichtigt die Berechtigungen für wichtige Systemdateien ändern könnten. Testen Sie immer zuerst in einer Testumgebung.
Spezielle Berechtigungen: SUID, SGID und Sticky Bit
Linux bietet auch spezielle Berechtigungen, die das Verhalten von ausführbaren Dateien und Verzeichnissen beeinflussen. Diese sind SUID, SGID und das Sticky Bit.
SUID (Set User ID)
Wenn eine ausführbare Datei mit dem SUID-Bit gesetzt ist, wird sie mit den Berechtigungen des Dateibesitzers ausgeführt, nicht mit den Berechtigungen des Benutzers, der sie ausführt. Dies wird durch ein s im Berechtigungsfeld des Besitzers anstelle eines x angezeigt (z. B. -rwsr-xr-x). Verwenden Sie chmod u+s datei zum setzen und chmod u-s datei zum entfernen.
SGID (Set Group ID)
Ähnlich wie SUID wird eine ausführbare Datei mit den Berechtigungen der Dateigruppe ausgeführt, wenn das SGID-Bit gesetzt ist. Wenn SGID auf ein Verzeichnis angewendet wird, erben alle neu erstellten Dateien und Unterverzeichnisse die Gruppe des Verzeichnisses. Dies wird durch ein s im Berechtigungsfeld der Gruppe anstelle eines x angezeigt (z. B. -rwxr-sr-x). Verwenden Sie chmod g+s datei zum setzen und chmod g-s datei zum entfernen.
Sticky Bit
Wenn das Sticky Bit auf ein Verzeichnis angewendet wird, können nur der Dateibesitzer, der Verzeichnisbesitzer oder der Root-Benutzer Dateien innerhalb dieses Verzeichnisses löschen oder umbenennen. Dies wird durch ein t im Berechtigungsfeld der „Anderen” anstelle eines x angezeigt (z. B. -rwxrwxrwt). Verwenden Sie chmod +t verzeichnis zum setzen und chmod -t verzeichnis zum entfernen.
Bewährte Verfahren für die Sicherheit von Zugriffsrechten
- Prinzip der geringsten Privilegien: Weisen Sie Benutzern nur die minimal erforderlichen Berechtigungen zu.
- Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Berechtigungen Ihrer Dateien und Ordner, um sicherzustellen, dass sie angemessen sind.
- Gruppen verwenden: Organisieren Sie Benutzer in Gruppen, um die Verwaltung von Berechtigungen zu vereinfachen.
- Sichern Sie temporäre Verzeichnisse: Verwenden Sie das Sticky Bit, um zu verhindern, dass Benutzer Dateien in temporären Verzeichnissen löschen, die sie nicht besitzen.
- Seien Sie vorsichtig mit SUID und SGID: Verwenden Sie SUID und SGID nur, wenn sie unbedingt erforderlich sind, und überprüfen Sie deren Verwendung sorgfältig.
Indem Sie diese bewährten Verfahren befolgen und die in diesem Artikel behandelten Befehle beherrschen, können Sie Ihre Linux-Systeme effektiv sichern und die Kontrolle über Ihre Datei- und Ordnerberechtigungen übernehmen. Viel Erfolg beim Ausprobieren!