Berechtigungen: rwx, SUID, SGID, Sticky Bit

Berechtigungen unter Linux: rwx, SUID, SGID, Sticky Bit

Jede Datei und jedes Verzeichnis unter Linux hat Berechtigungen. Diese bestimmen wer lesen, schreiben und ausführen darf. Das System ist einfacher als NTFS-Berechtigungen unter Windows – aber hat seine eigenen Feinheiten. Drei Kategorien von Berechtigungen gibt es: für den Eigentümer (User), für die Gruppe (Group) und für alle anderen (Others). Jede Kategorie kann drei Bits haben: r (read), w (write), x (execute).

Diese Lektion zeigt wie du Berechtigungen liest, setzt und die Sonderbits SUID, SGID und Sticky Bit einsetzt. Das klingt trocken, ist aber für jede Serveradministration fundamental – falsche Berechtigungen sind eine der häufigsten Sicherheitslücken auf Linux-Servern.

1) Berechtigungen lesen und verstehen

Der Befehl ls -la zeigt Berechtigungen als 10-stellige Zeichenkette. Klicke ein Bit für die Erklärung:

Berechtigungs-String – Bit anklicken

mueller www-data config.conf

      typ  └──User──┘ └─Group─┘ └─Others─┘
  

← Klicke ein Bit (Typ, r, w, x) für die Erklärung.

Oktal ist der Standard: rw-r--r-- = 644 (User: 6=rw, Group: 4=r, Others: 4=r). Die häufigsten Werte: 644 (Datei: Eigentümer lesen+schreiben, alle anderen nur lesen), 755 (Verzeichnis/Executable: Eigentümer alles, andere lesen+ausführen), 600 (Datei nur für Eigentümer – z.B. SSH-Keys), 700 (Verzeichnis nur für Eigentümer).

2) chmod – Berechtigungen ändern

# Oktal-Notation (am häufigsten) $ chmod 644 config.conf # rw-r--r-- $ chmod 755 skript.sh # rwxr-xr-x $ chmod 600 ~/.ssh/id_rsa # rw------- (SSH-Key!) $ chmod -R 750 /var/www/ # -R = rekursiv für ganzen Baum
# Symbolische Notation $ chmod u+x skript.sh # User: +execute $ chmod g-w datei.txt # Group: -write entfernen $ chmod o=r datei.txt # Others: genau read (=setzt exakt) $ chmod a+x skript.sh # All (ugo): +execute
# Eigentümer und Gruppe ändern $ chown mueller datei.txt $ chown mueller:webadmins datei.txt $ chown -R www-data:www-data /var/www/html/

3) Sonderbits: SUID, SGID, Sticky Bit

Neben den normalen rwx-Bits gibt es drei Sonderbits die besondere Verhalten auslösen:

Bit	Oktal	An Datei	An Verzeichnis	Anzeige (ls)
SUID	4xxx	Programm läuft mit Rechten des Eigentümers (z.B. passwd läuft als root)	Keine Wirkung	`rwsr-xr-x` (s statt x bei User)
SGID	2xxx	Programm läuft mit Rechten der Gruppe	Neue Dateien erben die Gruppe des Verzeichnisses	`rwxr-sr-x` (s bei Group)
Sticky Bit	1xxx	Veraltet	Nur der Ersteller darf eigene Dateien löschen (z.B. /tmp)	`drwxrwxrwt` (t am Ende)

# SUID setzen: /usr/bin/passwd muss als root laufen obwohl User es aufruft $ ls -la /usr/bin/passwd -rwsr-xr-x 1 root root 59976 /usr/bin/passwd
# SGID auf Verzeichnis: neue Dateien erben Gruppe $ chmod 2775 /srv/teamshare/ # Gruppe bleibt erhalten
# Sticky Bit auf /tmp (Standard) $ ls -la / | grep tmp drwxrwxrwt 12 root root 4096 /tmp # t = Sticky Bit

Zusammenfassung

Berechtigungen: Typ + User(rwx) + Group(rwx) + Others(rwx). chmod 644 (Datei), 755 (Verzeichnis/Skript), 600 (privat). chown user:group. SUID (4xxx): Programm läuft als Eigentümer. SGID (2xxx): Verzeichnis-Dateien erben Gruppe. Sticky Bit (1xxx): /tmp – nur Ersteller löscht eigene Dateien. Sicherheitsregel: Others so wenig Rechte wie möglich.

Berechtigungen: rwx, SUID, SGID, Sticky Bit

1) Berechtigungen lesen und verstehen

2) chmod – Berechtigungen ändern

3) Sonderbits: SUID, SGID, Sticky Bit

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title