Access Control Lists (ACL)

Eine Access Control List (ACL) ist eine der konkretesten und direkt sichtbarsten Formen von Zugriffskontrolle. Statt Rollen oder Attribute zu verwenden, wird direkt an jeder Ressource – einer Datei, einem Verzeichnis, einem Netzwerkport – eine Liste von Regeln hinterlegt, die besagt, wer was darf. Du kennst ACLs vielleicht schon aus zwei ganz verschiedenen Kontexten: als Datei-ACLs in Betriebssystemen (Linux, Windows) und als Netzwerk-ACLs in Routern und Firewalls.

Beide Kontexte folgen demselben Grundprinzip: eine geordnete Liste von Einträgen, wobei jeder Eintrag ein Subjekt (Nutzer, Gruppe, IP) und eine Erlaubnis oder Verweigerung für eine bestimmte Aktion definiert. Im Gegensatz zu RBAC ist die Berechtigung direkt an der Ressource gespeichert – nicht am Nutzer oder einer Rolle.

1) Datei-ACL: Linux und Windows

Im Dateisystem beschreibt die ACL für jede Datei und jeden Ordner, welcher Nutzer oder welche Gruppe welche Operationen (Lesen, Schreiben, Ausführen) ausführen darf. Linux unterscheidet klassisch zwischen Besitzer, Gruppe und Sonstige (rwx-Bits), erlaubt aber mit POSIX-ACLs auch feingranulare Einträge für einzelne Benutzer. Windows NTFS-ACLs sind von Haus aus feingranular. Klicke auf eine Datei, um ihre ACL zu sehen.

Dateisystem-ACL – Klicke auf eine Datei für Details

📁projekte/rwxr-x---dev-team

📄README.mdrw-r--r--anna

🔒config.envrw-------anna

⚙️deploy.shrwxr-x---anna

📁personal/rwx------hr-team

💰gehaelter.xlsxrw-------lisa

Klicke auf eine Datei oder Verzeichnis, um die ACL-Einträge zu sehen.

Linux-Berechtigungen im rwx-Format: r=lesen (4), w=schreiben (2), x=ausführen (1). Die neun Stellen: [Besitzer][Gruppe][Andere]. „rw-r--r--" = Besitzer lesen+schreiben, Gruppe und Andere nur lesen. Oktal: 644. config.env mit 600 (rw-------) ist nur für den Besitzer lesbar – ideal für Passwörter und API-Keys.

2) ACL-Zugriffstest

Der folgende Simulator prüft, ob ein bestimmter Nutzer eine Operation auf einer Datei durchführen darf – basierend auf den ACL-Einträgen aus dem Dateisystem oben. Das System prüft in der Reihenfolge: Besitzer → Gruppe → Sonstige.

ACL-Zugriffstest – Dateisystem

Benutzer

Datei

Operation

Benutzer, Datei und Operation auswählen und prüfen.

In der Praxis sind Linux-ACLs der häufigste Fehlerort bei Deployments: Scripts können nicht ausgeführt werden, weil das x-Bit fehlt; Konfigurationsdateien sind für alle lesbar, obwohl sie API-Keys enthalten. Der Befehl ls -la zeigt Berechtigungen; chmod 600 config.env setzt sie korrekt.

3) Netzwerk-ACL vs. Datei-ACL vs. RBAC

ACLs treten in verschiedenen Kontexten auf. Im Netzwerkbereich kennst du sie als Firewall-Regelwerk: auch das ist eine ACL – eine Liste von Regeln, die für Netzwerkpakete entscheidet, was erlaubt ist. Das Prinzip ist dasselbe, der Kontext ein anderer.

ACL-Kontexte – Klicke für Details

Zusammenfassung

Eine ACL ist eine ressourcengebundene Liste von Zugriffsregeln: wer darf was. Im Dateisystem: Besitzer/Gruppe/Andere mit rwx-Berechtigungen (Linux) oder NTFS-ACEs (Windows). Im Netzwerk: Firewall-Regelwerk (Quelle/Ziel/Port → ALLOW/DENY). In Datenbanken: GRANT/REVOKE-Statements. ACLs sind konkret und direkt, aber bei vielen Ressourcen schwer zentral zu verwalten – daher ergänzt RBAC sie durch eine Abstraktionsschicht. Mehr zur praktischen Dateisystem-Umsetzung: Berechtigungskonzept für Dateisysteme.

Access Control Lists (ACL)

1) Datei-ACL: Linux und Windows

2) ACL-Zugriffstest

3) Netzwerk-ACL vs. Datei-ACL vs. RBAC

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title