Benutzer- und Gruppenrechte

Linux hat ein sehr durchstrukturiertes Gruppen- und Benutzerrechtesystem.
Zu jeder Datei und zu jedem Ordner wird gespeichert, welchem Benutzer und welcher Gruppe diese Datei gehört.
Weiterhin wird zu jeder Datei und zu jedem Ordner gespeichert, wer sie lesen, wer sie ändern und wer sie ausführen darf.

Um sich die Berechtigungen der Dateien eines Ordners ausgeben zu lassen, kann man ls -la eingeben.
Man erhält dann ein Verzeichnisslisting, dass in etwa wie folgt aussieht:

-rw-r--r--    1 knox     users        1124 2003-09-28 21:29 .exrc
drwxr-xr-x    2 knox     users        4096 2003-09-28 21:29 .fonts
-r--r--r--    1 knox     users       16035 2003-09-28 21:29 .gnu-emacs

Die ersten 10 Zeichen stehen für die Berechtigungen die Benutzer und Gruppen an dieser Datei haben.
Das erste Zeichen ("d", bzw. "-") steht dafür, ob es sich um ein Verzeichnis handelt ("d"), oder um eine Datei ("-").
Die nächsten 3 Zeichen stehen für die Berechtigungen, die der Eigentümer der Datei (bei den oberen 3 Dateien ist dies der Benutzer "knox") hat.
Das erste Zeichen ("r", oder "-") bedeutet, er darf die Datei lesen.
Das zweite Zeichen ("w", oder "-") bedeutet, er darf in die Datei schreiben.
Das dritte Zeichen ("x", oder "-") bedutet, er darf die Datei ausführen.
Die nächsten 3 Zeichen stehen für die Berechtigungen, die die Gruppe an dieser Datei hat. Bei den 3 Beispieldateien wäre das jeweils die Gruppe "user". Jeder Benutzer, der der Gruppe "user" angehört darf also mit den hier aufgeführten Rechten auf die Datei zugreifen.
Die letzten 3 Zeichen stehen für die Allgemeinheit. Jeder der also weder der Benutzer der Datei ist, noch zur Gruppe dieser Datei gehört wird mit diesen Rechten auf die Datei zugreifen können.

Es ist sehr empfehlenswert dieses Benutzersystem zu nutzen und für einen neuen Server auch einen neuen Benutzer anzulegen, der eben dann nur auf die Dateien des Servers Zugriff hat und den Server auch als diesen Benutzer starten
Sollte nun irgendein Angreifer eine Sicherheitslücke in dem Serverprogramm ausnutzen, so wird er damit nicht mehr anrichten können, als der Benutzer unter dem der Server läuft kann.

ChOwn - Ändern des Besitzers einer Datei?
Mit dem Befehl
chown benutzer:gruppe datei ändert man den Benutzer der Datei "datei" in "benutzer" und deren Gruppe in "gruppe".
Möchte man diese Änderungen auf die Kompletten Unterordner eines Ordners anwenden, so macht man dies mit dem zusätzlichen Parameter -R:
chown -R benutzer:gruppe datei

ChMod - Ändern der Zugriffsrechte auf eine Datei?
Mit dem Befehl
chmod 777 datei gibt man jedem alle Rechte an der Datei "datei".
Möchte man diese Änderungen auf die kompletten Unterordner eines Ordners anwenden, so macht man dies mit dem zusätzlichen Parameter -R:
chmod -R 777

Wofür steht "777"?
777 ist eine andere Schreibweise für "rwxrwxrwx".
Hierbei steht die erste Ziffer für die Rechte des Besitzers, die 2. für die Rechte der Gruppe und die 3. für die Rechte des Rests.
0 bedeutet keine Rechte.
1 bedeutet nur ausführen (--x).
2 bedeutet nur schreiben (-w-).
3 bedeutet nur schreiben und ausführen (-wx).
4 bedeutet nur lesen (r--).
5 bedeutet nur lesen und ausführen (r-x).
6 bedeutet nur lesen und schreiben (rw-).
7 bedeutet lesen, schreiben und ausführen (rwx).

Su - Den Benutzer ändern
Mit Hilfe des Befehls su benutzername kann man zu dem Benutzer "benutzername" wechseln und anschließend Programme mit seinen Berechtigungen ausführen.

Mkuser - Einen neuen Benutzer erstellen
Dieser Befehl legt einen neuen Benutzer an. Mit der Option -a kann man diesen neuen Benutzer zum Admin machen.
Dabei schreibt der Befehl die Benutzerdaten in die folgenden Dateien:
/etc/passwd
/etc/security/user
/etc/security/user.roles
/etc/security/limits
/etc/security/environ
/etc/group
/etc/security/group

Sudo - Einen Befehl als Admin ausführen
Berechtigungen editieren: visudo
Format Config-Datei um Vollzugriff für einen Benutzer zu erlauben: User ALL=NOPASSWD: ALL

Weitere Seiten zu diesem Thema: URL: Von: Titel:   Captcha:

Text bewerten: Aktuelle Wertung: 0 (0x) Seit der letzten Änderung: 0 (0x) Note 1 2 3 4 5 6

Kommentare     Seite: [0]

22. Oct. 2003 - 10:09 erstellt von Oli

Der Vollständigkeit halber gibt es noch 3 Spezialbits, die man benutzen kann: http://linuxwiki.de/DateiRechte

21. Jan. 2004 - 16:16 erstellt von cap

hallo ich habe eine frage ich habe einen benutzer under dem verzeichnis hlds_l angelegt und der ist in der gruppe hlds aber der benutzer die gruppe das verzeichnis hlds_l darf weder auf das home verzeichnis kommen noch auf root wie mach ich das gruss cap

22. Jan. 2004 - 08:57 erstellt von Oli

Wenn du es richtig formulieren könntest, würde man vielleicht sogar verstehen, was du willst. So ein paar Vermutungen: * Gib dem Benutzer hlds ein eigenes Homeverzeichnis und führ hlds dort aus. * Wenn deine Sicherheitsbestimmungen es zulassen, setz rx bei others für das enstsprechende Homeverzeichnis. * Überprüf die Rechte entlang des Pfades

15. Jun. 2007 - 08:55 erstellt von q.q linux :)

hi, hab auch ne frage: mein Stand: 2 gruppen , lilo, stitch jeweils 3 benutzer (namen sind egal von mir aus name 1 usw.) so, jetzt habe ich 2 ordner die ordner heißen auch ( lilo,stitch ) jetzt habe ich das so gemacht das alle benutzer der gruppe lilo alle rechte für ordner lilo haben und bei stitch genauso mit gruppe stitch. nun meine frage wie kann ich das so einstellen das benutzer1 von gruppe lilo schreib und lese rechte für den ordner stitch hat, undzwar nur er? vllt noch benutzer 2 , wichtig ist das nicht alle aus dieser gruppe diese rechte haben.

15. Jun. 2007 - 10:27 erstellt von q.q linux :)

zusatz: Mir ist wichtig, dass man den nutzer aus gruppe lilo nicht einfach als besitzer dieses ordners macht, sondern er soll nur die rwx rechte dafür haben. der user soll root bzw benutzer4 -6 bleiben aus gruppe stitch bleiben.

15. Jun. 2007 - 14:33 erstellt von q.q linux :)

ok ich habs, einfach die benutzer den jeweiligen gruppen MITzuordnen ;) quasi benutzer1 in die gruppe stitch, somit hat er die rechte aber benutzer 2 nicht :) ganz easy für den der das selbe problem hat :)

Von: E-Mail:

Captcha: