Rechte
Linux bietet eine genaue Aufteilung von Zugriffsrechten auf Benutzer- und Dateiebene an. Außerdem werden mit den Dateisystemen ext2 und ext3 einige (selten benutzte) Attribute eingeführt.
Links
Benutzerrechte:
su / sudo
- mit
suwird man dauerhaft zu einem Benutzer, z.B. root:
su allgemein :
su user
Mit sudo kann man sich für eine einzelne Aktion mit root-Rechten ausstatten. Dazu muss in /etc/sudoers Erlaubnis erteilt sein:
- sudo für Benutzer mit Passwortabfrage:
MeinBenutzer ALL=(ALL) ALL
- ohne Passwortabfrage
MeinBenutzer ALL=(ALL) NOPASSWD:ALL
- …ohne Passwortabfrage nur für einzelne Befehle freigeben:
MeinBenutzer ALL = NOPASSWD: /sbin/reboot, /sbin/halt
- Für die Gruppe sudo alle Befehle ohne Passwort freigeben:
%sudo ALL=(ALL:ALL) NOPASSWD:ALL
Die Datei /etc/sudoers sollte man nur mit dem Kommando visudo editieren (um Konflikte zu vermeiden).
Besser ist es (auch im Sinne von Automatisierungen), einzelne Dateien unterhalb von /etc/sudoers.d/ anzulegen.
Umgebungsvariablen
sudo räumt die Umgebungsvariablen des aufrufenden Benuzers nach bestimmten Regeln weg 1). Sollen einzelne Variablen erhalten bleiben (hier z.B. $SSH_ORIGINAL_COMMAND) muss dies explizit angeben werden:
- Für einen bestimmten Befehl:
Defaults!/path/to/command env_keep=SSH_ORIGINAL_COMMAND
- Für alle Befehle des Benutzers „stefan“:
Defaults:stefan env_keep=SSH_ORIGINAL_COMMAND
hinzufügen: =+ oder wegnehmen: =-
siehe auch: https://unix.stackexchange.com/questions/13240/etc-sudoers-specify-env-keep-for-one-command-only
Links
Dateirechte
Dateirechte setzen: chmod = Change Mode
chmod setzt die Zugriffsrechte für Dateien und Verzeichnisse.
Allgemeine Syntax: chmod [Parameter] [Datei(en) bzw. Verzeichnis(se)]
Die Abkürzungen für die einzelnen Rechte sind
| Abkürzung | Bedeutung des Dateirechts | zählt oktal |
|---|---|---|
| r | (read) für lesen | 4 |
| w | (write) für schreiben | 2 |
| x | (execute) für ausführen einer Datei bzw. hineinwechseln bei einem Verzeichnis | 1 |
| X | nur ausführen wenn es ein Verzeichnis ist oder schon ausführrechte für einen Benutzer hat. | - (wird nur relativ benutzt) |
| s | setuid(=SUID) / setgid (=SGID): Beim Ausführen wird der Benutzer (setuidSUID) oder die Gruppe der Datei (SGID) gesetzt und nicht die des aufrufenden Benutzers/Gruppe) Anmerkung: Auf den meisten Systemen funktioniert dies nur für ausführbare Binärdateien, nicht jedoch für interpretierte Scripts. | SUID = 4 SGID = 2 |
| t | sticky: auf ein Verzeichnis angewandt bedeutet es, dass jeder Benutzer nur seine Dateien lesen/ändern darf (Anwendung bei /tmp) | 1 |
Der Wirkungsbereich wird mit den Buchstaben
- u (user=Eigentümer)
- g (group=Gruppe)
- o (others=Andere) oder
- a (all=alle: wirkt auf Eigentümer, Gruppe und Andere gleichermaßen)
festgelegt.
chmod akzeptiert Parameter in drei verschiedenen Formen:
- Relativ: [user/group/other]+/-/=rwx z.B.
chmod g-r [Datei]entzieht der Gruppe das Leserecht für die angegebene Datei- man kann auch mehrere solcher Strings eingeben:
chmod ug+r,a-x [Datei]gibt dem user (Besitzer) und der group (Gruppe) Leserechte, entzieht jedoch allen (all)die Ausführrechte
- Absolut in Oktalschreibweise:
- 3stellig:
chmod 640 Dateiwärerwxr-----oder - 4stellig:
chmod 6640 Dateiwäre-rwSr-S---(SUID+SGUID = 6 und 644 normale Recht wie vorher)
- Vergleichend:
--reference=Dateisetzt dieselben Zugriffssrechte wie die angegebene Datei.
Beispiel
| Recht(e) | Besitzer | Gruppe | Andere |
|---|---|---|---|
| lesen | r- - | r- - | r- - |
| lesen und schreiben | rw- | rw- | rw- |
| lesen und ausführen | r-x | r-x | r-x |
| lesen, schreiben und ausführen | rwx | rwx | rwx |
wird zu
| Recht(e) | Berechnung | ||||
|---|---|---|---|---|---|
| Bezeichnung | Besitzer | Gruppe | Andere | Binär | Addition der Stellen + Umwandlung in Oktalzahlschreibweise |
| lesen | 4 | 4 | 4 | r - - ⇒ 100 | 1x 22 + 0x 21 + 0x 20 = 4+0+0 = 4 |
| lesen und schreiben | 6 | 6 | 6 | rw- ⇒ 110 | 1x 22 + 1x 21 + 0x 20 = 4+2+0 = 6 |
| lesen und ausführen | 5 | 5 | 5 | r-x ⇒ 101 | 1x 22 + 0x 21 + 1x 20 = 4+0+1 = 5 |
| lesen, schreiben und ausführen | 7 | 7 | 7 | rwx ⇒ 111 | 1x 22 + 1x 21 + 1x 20 = 4+2+1 = 7 |
Es zählen also: read=4 write=2 execute=1
Sonderrechte SUID, SGID, Sticky
umask
Mit der Angabe der umask wird dem Benutzer eine (sichere) Standardberechtigungsmaske für neue Dateien vorgegeben. Alle erstellten Dateien werden dann mit der angegeben umask erstellt. Die umask arbeitet als Subtrahend: Von den ursprünglich vollen Rechten wird die umask abgezogen, so dass eine sichere Einstellung übrig bleibt. Mit der Angabe umask = 027 habe alle neu-erstellten Verzeichnisse die Rechtemaske 750 (entspricht rwxr-x---) bzw. 640 (rw-r-----) bei Dateien.
| umask | Auswirkung |
|---|---|
| 002 | Jeder kann die Dateien lesen und Gruppenmitglieder sogar verändern. |
| 022 | Jeder kann die Dateien lesen aber kein anderer kann sie verändern. |
| 027 | Nur Gruppenmitglieder können die Dateien lesen, kein anderer kann sie verändern. |
| 077 | Kein anderer auf dem System kann die Dateien lesen oder verändern. |
Man trägt sie benutzerspezifisch in der Konfigurationsdatei der jeweils verwendeten Shell (z.B. .bashrc bei der Shell Bash) oder systemweit in der Datei /etc/profile ein.
POSIX-ACLs / Erweiterte ACLs
POSIX-ACLs sind Zugangskontrolllisten, die die Berechtigungen für Dienste und Dateien regeln. Sie werden eingesetzt wenn das normale Schema (siehe oben) nicht mehr ausreicht, z.B. im Zusammenhang mit Samba.
Erweiterte ACLs funktionieren nur mit mount-Option „acl“ (fallweiser Aufruf mit „mount -o acl …“), ein Beispieleintrag in der /etc/fstab:
/dev/sda2 /srv ext4 defaults,acl,noatime 0 2
Ausgabe von mount:
/dev/sda2 on /srv type ext4 (rw,noatime,acl)
Anzeige von ls wenn erweiterte ACLs (hier auf „Verzeichnis“) aktiv sind:
drwxrws---+ 2 root users 4096 27. Aug 19:22 Verzeichnis
Beispiele:
- Benutzer User1 bekommt rwx auf „Verzeichnis“:
setfacl -m user:User1:rwx Verzeichnis
- User1 darf überhaupt nichts lesen auch wenn seine Gruppe dürfte:
setfacl -m user:User1:--- Verzeichnis - alle erweiterten ACLs von „Verzeichnis“ löschen:
setfacl -b Verzeichnis - erweiterte ACL von „Verzeichnis“ anzeigen:
getfacl Verzeichnis
Unter Linux können der Besitzer (Benutzer) und root ACL für Verzeichnisse und Dateien setzen.
Links
Attribute in ext2/3
Das ext2-/ext3-Dateisystem kennt neben den Dateirechten noch so genannte Dateiattribute. Folgende Dateiattribute sind definiert:
| Attribut | Bedeutung |
|---|---|
| a (append only) | Die Datei kann beschrieben werden, jedoch nur durch anhängen von Daten. Bereits vorhandene Daten können nicht mehr geändert, gelöscht oder überschrieben werden. Sinnvoll ist dies beispielsweise bei Logdateien. |
| c (compressed) | nicht implementiert: Die Datei wird komprimiert geschrieben (und beim Auslesen wieder dekomprimiert). |
| i (immutable) | Die Datei ist unveränderbar: Sie kann weder gelöscht, umbenannt noch in ihrem Inhalt verändert werden, nicht einmal ein Link zu ihr darf erstellt werden. Nur root hat die capability CAP_LINUX_IMMUTABLE um dieses Attribut zu setzen. |
| s (secure deletion) | Beim Löschen werden die festplattensektoren dieser Datei mit Zufallsdaten überschrieben, und damit ist sie (mit normalen Mitteln) nicht wieder zu retten. |
| S (synchronous update) | Die Datei wird grundsätzlich sofort geschrieben und nicht durch den Festplatten-Cache des Kernels schreibgepuffert. |
| u (undeleteable) | nicht implementiert: Die Datei soll nicht überschrieben werden und somit wiederherstellbar sein. |
Diese können mit dem Befehl chattr geändert und mit lsattr angezeigt werden.
Vollständige Liste der Attribute: append only (a), compressed ©, no dump (d), extent format (e), immutable (i), data journalling (j), secure deletion (s), no tail-merging (t), undeletable (u), no atime updates (A), no copy on write (C), synchronous directory updates (D), synchronous updates (S), and top of directory hierarchy (T).
Folgende Attribute sind nicht änderbar von chattr, könnten aber von lsattr angezeigt werden: huge file (h), compression error (E), indexed directory (I), compression raw access (X), and compressed dirty file (Z).
siehe man 5 sudo