TFT Monitor bei Mercateo kaufen.

Neues Netbook? Ein Preisvergleich lohnt sich.

Bei uns finden sie Notebooks, PDAs und Drucker mit Testberichten und Tipps.

Diamant Buchhaltungssoftware – transparent und detailliert auch für die Konzernbuchhaltung.

Günstige Shareware Programme als direkte Downloads im Software Portal.

Bis zu 70% sparen durch Preisvergleich.

Erschienen in LinuxUser 10/2000

Zu Befehl

Rechte und Pflichten -- meine oder Deine Datei?

von Heike Jurzik

Auch wenn sich viele Dinge bequem über grafische Oberflächen wie KDE oder GNOME regeln lassen -- wer sein Linux-System richtig ausreizen möchte, kommt um die Kommandozeile nicht herum. Abgesehen davon gibt es auch sonst viele Situationen, wo es gut ist, sich im Befehlszeilendschungel ein wenig auszukennen.

Dateien und Verzeichnisse haben unter Unix nicht nur einen Besitzer, sondern auch eine ganze Liste von Zugriffsrechten -- eine gute Grundlage, um gezielten Zugang zu Files erlauben oder verbieten zu können. Solche Berechtigungen legen ebenfalls fest, ob eine Datei ausführbar ist und wer diese ausführen darf. Mit dem Kommando ls (für englisch "list") und dem Parameter -l kann man nachschauen, wie das für einzelne Files aussieht:

huhn@huehnerstall ~ > ls -l
drwxr-xr-x   3 huhn     huhn         1024 Aug 21 18:56 ./
drwxr-xr-x  11 huhn     huhn         1024 Aug  5 14:33 ../
-rw-r--r--   1 huhn     games        7790 Aug  5 15:32 datei
-rwxr-xr-x   1 huhn     huhn         7780 Aug  5 17:19 datei2

-rw-r--r-- sind die Zugriffsrechte für datei, der Besitzer heißt huhn, und der Name der Gruppe ist games. Wie schlüsselt man aber die Kombination aus Strichen und Buchstaben für die Rechte auf? Das erste Zeichen steht für den Dateityp, hier ein "-" für eine normale Datei. Alternativ könnte dort ein "d" für ein Verzeichnis ("directory") auftauchen, ein "l" für einen symbolischen Link usw. Das "r" steht für Leseerlaubnis ("read"), das "w" für Schreibberechtigung ("write") und das "x" für die Erlaubnis, die Datei ausführen zu dürfen ("executable"). Die ersten drei Zeichen gehören zum Dateieigentümer, die nächsten drei zur Gruppe, und die letzte Dreiergruppe gehört zu allen übrigen Benutzern des Systems. Je nachdem, welcher Buchstabe dort erscheint, darf das File entsprechend gelesen, geschrieben oder ausgeführt werden. Für das File datei in dem Beispiel oben gilt: Der Besitzer huhn darf die Datei lesen und verändern, Angehörige der Gruppe games und alle anderen Benutzer dürfen sie lesen. Die datei2 darf vom Besitzer gelesen, verändert und ausgeführt werden, die anderen Benutzer dürfen sie lesen und ausführen, aber nicht darin schreiben.

Gruppe: Benutzer werden unter Unix in drei Kategorien eingeordnet, über die ihre Rechte gesteuert werden können. Jeder User hat eine entsprechende UID ("User IDentification number"), der in der Regel genau ein Benutzername zugeordnet wird. Darüber hinaus gibt es aber noch eine sogenannte GID ("Group IDentification number"), mit der die Zugehörigkeit zu einer Gruppe festgelegt wird. Mitglieder einer Gruppe können sich bestimmte Rechte teilen. Alle anderen Benutzer, die nicht zu der Gruppe gehören, werden unter "others" zusammengefasst.

chmodifizierte Rechte

Das Programm chmod ändert die Zugriffsrechte von Dateien und Verzeichnissen, allerdings nur die eigenen. Der Superuser root kann auch die Rechte von fremden Files verändern. Als Parameter werden bei chmod die neuen Zugriffsrechte und eine oder mehrere Dateien, die verändert werden sollen, angegeben. Es gibt zwei verschiedene Möglichkeiten, wie die Zugriffsrechte angegeben werden können: Bei der symbolischen Schreibweise wird zuerst klargemacht, wessen Rechte verändert werden sollen. Dieses geschieht mit Buchstaben: "u" steht für den Eigentümer ("user"), "g" für die Gruppe ("group") und "o" für alle anderen ("others"). Kombinationen dieser Kürzel sind möglich, indem man sie ohne Leerzeichen hintereinander hängt, z. B. "ug" oder "go". Übrigens kann man "ugo" einfach mit "a" (für "all") abkürzen. Anschließend folgt (wiederum ohne Leerzeichen) entweder ein "+", ein "-" oder ein "=". Das "+" beduetet, dass Rechte hinzukommen, das "-" entsprechend, dass welche weggenommen werden. Mit dem "=" werden genau die Rechte gesetzt, die im Aufruf angegeben sind, während bei "+" und "-" nicht erwähnte Rechte der Datei unverändert bleiben. Dahinter stehen dann noch die Rechte selbst -- hier kommen wieder "r", "w" und "x" ins Spiel.

Das klingt auf den ersten Blick alles recht kompliziert, wird aber schnell klar, wenn man sich ein paar Beispiele dazu anschaut:

huhn@huehnerstall ~ > chmod g+w datei
huhn@huehnerstall ~ > ls -l datei
-rw-rw-r--   1 huhn  games   0 Aug  5 15:32 datei

Die Übersetzung lautet: Ändere die Rechte für die Gruppe ("g") dahingehend, dass Schreibrechte ("w") zusätzlich ("+") bestehen. Jetzt kann also nicht nur der Besitzer, sondern auch jedes Mitglied der Gruppe die Datei verändern.

huhn@huehnerstall ~ > chmod o=rx datei
huhn@huehnerstall ~ > ls -l datei
-------r-x   1 huhn  games   0 Aug  5 15:32 datei

Dieser Aufruf setzt die Rechte für alle übrigen Benutzer explizit auf "r-x". Natürlich können auch mehrere Schritte zu einem einzigen zusammengefasst werden. chmod ug=rx,u+s datei erlaubt zunächst dem Eigentümer und der Gruppe, die Datei zu lesen und auszuführen, und setzt dann das s-Bit für den Eigentümer:

-r-sr-xr-x   1 huhn  games   0 Aug 5 15:32 datei

s-Bit: Das sogenannte s-Bit (setuid-Bit) ist eine spezielle Zusatzangabe für ausführbare Dateien. Das setuid-Bit kann entweder für den Eigentümer oder die Gruppe gesetzt werden und ersetzt in der Darstellung das "x". Die ausführbare Datei verhält sich anschließend für alle Benutzer so, als ob sie mit den Rechten des Dateieigentümers liefe und nicht länger mit den eigenen. Sollte also das s-Bit für Programme gesetzt sein, die root gehören, kann das ein erhebliches Sicherheitsrisiko sein -- gewöhnliche Benutzer können die Datei ausführen, als wären sie der Superuser.

Aber bitte mit Zahlen!

Eine andere Möglichkeit, mit chmod Rechte zu verändern, ist die Verwendung von drei- oder vierstelligen Oktalzahlen. Hierbei werden jedesmal alle Rechte mit einem Aufruf komplett neu gesetzt. Die Abkürzungen "u", "g" und "o" werden jeweils einer Ziffer zugeordnet. Jede dieser Zahlen ist eine Summe aus 4 (Leserechte), 2 (Schreibrechte) und 1 (Datei darf ausgeführt werden), z. B. lässt sich 777 in rwxrwxrwx oder 644 in rw-r--r-- übersetzen. Um das s-Bit zu setzen, wird noch eine weitere Ziffer an den Anfang gesetzt, wiederum die Summe aus 4 (s-Bit für den Eigentümer), 2 (s-Bit für die Gruppe) und 1 (t-Bit). Ein chmod 4755 datei setzt also die Rechte auf rwsr-xr-x -- alle dürfen die Datei lesen und ausführen, zusätzlich ist das s-Bit für den Eigentümer gesetzt.

Oktalzahl: Oktalzahlen sind -- wie die sonst üblichen Dezimalzahlen, die sich aus den Ziffern 0 bis 9 zusammensetzen -- eine von drei häufigen Zahlendarstellungen in der Computerwelt, die ein anderes Ziffernsystem verwenden. Im Fall der Oktalzahlen werden nur acht Ziffern (0 bis 7) verwendet, so dass in dieser Darstellung auf 7 bereits 10 folgt. Die Oktaldarstellung eignet sich für die Zugriffsrechte besonders, da ja genau die Werte 0 bis 7 vorkommen können. Neben Oktalzahlen werden noch häufig Hexadezimalzahlen (16 Ziffern 0-9 und A-F) und Binär- oder Dualzahlen (nur die beiden Ziffern 0 und 1) verwendet. Das Rechnen mit Zahlen in einer solchen alternativen Darstellung läuft prinzipiell wie mit unseren Dezimalzahlen ab, und auch die Umrechnung ist nicht weiter schwierig: So wie sich etwa die Zahl 2604 als 2*1000 + 6*100 + 0*10 + 4*1, also 2*10^3 + 6*10^2 + 0*10^1 + 4*10^0 "ausrechnen" lässt, gilt für eine Oktalzahl z. B. 345(oktal) = 3*8^2 + 4*8^1 + 5*8^0 = 3*64 + 4*8 + 5*1 = 229.
t-Bit: Das t-Bit (auch sticky-Bit genannt) ersetzt ebenso wie das s-Bit in der Darstellung das x-Flag. Bei Programmen ist es eher selten zu finden; es gibt dem System an, dass ein Programm nach der Ausführung im Speicher bleiben soll anstatt wie üblich den Speicher freizugeben -- eine wesentliche Beschleunigung für oft benutzte Programme. Für Verzeichnisse hat das t-Bit eine ganz andere Auswirkung. Normalerweise hat man die Möglichkeit, jede beliebige Datei in einem Verzeichnis, für das man Schreibberechtigung besitzt, zu löschen, auch wenn das File einem anderen Benutzer gehört. Für Sammelverzeichnisse wie z. B. /tmp, in denen von mehreren Benutzern Dateien liegen, empfiehlt sich das Setzen des t-Bits: Trotz Schreiberlaubnis in dem Verzeichnis kann man nur noch Dateien löschen, die einem selbst gehören oder für die man eine explizite Schreiberlaubnis hat. Achtung: Wenn man Eigentümer des Verzeichnisses ist, spielt das t-Bit keine Rolle -- man darf in jedem Fall löschen!

Rechte oktal und symbolisch

In dieser Tabelle können Sie die "Umrechnung" zwischen symbolischen Rechten und der Darstellung in Oktalzahlen nachschlagen:
--- 0 r-- 4 --x 1 r-x 5 (=4+1) -w- 2 rw- 6 (=4+2) -wx 3 (=2+1) rwx 7 (=4+2+1)

Übrigens haben die neun Zugriffsrechte auch bei Verzeichnissen Gültigkeit, allerdings eine leicht abweichende Bedeutung: "r" steht weiterhin für "readable", d. h. andere Anwender können den Inhalt des Verzeichnisses mit ls betrachten. Bei einem gesetzten "x" darf mit dem Kommando cd directory in das Verzeichnis gewechselt werden. Nur, wenn "x" und "w" dort stehen, dürfen von anderen Benutzern fremde Dateien in das Verzeichnis kopiert werden, sonst gibt es eine Fehlermeldung der Form cp: cannot create regular file `/home/huhn/test/datei': Permission denied.

Achtung Rekursion!

Die Kommandos chmod, chown und chgrp arbeiten mit dem Parameter -R (die Langform ist --recursive) auch rekursiv. Wenn man z. B. einem ganzen Dateibaum die Schreibrechte für die Gruppe nehmen möchte, sollte man
chmod -R g-w verzeichnis
von dessen übergeordnetem Verzeichnis aufrufen. Ein einfaches Beispiel macht das Problem schnell klar: Angenommen, es gibt ein Verzeichnis b, das in a liegt, und für b sollen eben diese Schreibrechte für die Gruppe entfernt werden -- der o. g. Aufruf erfolgt aus a heraus. Damit kann man alle Dateien, egal ob versteckt (.datei) oder nicht, in diesem untergeordneten Verzeichnis erfassen. Allerdings gelten die veränderten Rechte nun auch für das Unterverzeichnis. Was geschieht also, wenn man ein chmod -R 600 * aufruft? Bevor irgendetwas in einem Unterverzeichnis passiert, wird das * ausgewertet: Dateien, die auch in b erfasst werden sollen, können nicht mehr erreicht werden, weil zuerst die Rechte des Unterverzeichnisses auf drw------- gesetzt wurden, die Fehlermeldung des Systems lautet: chmod: b/datei: Permission denied. Der Trick, wie man das Unterverzeichnis selbst auslassen kann, liegt in einem kombinierten Aufruf aus den Kommandos find (s. "Zu Befehl 06/2000") und chmod:

huhn@huehnerstall ~ > find b -type f -exec chmod 600 \{\} \; huhn@huehnerstall ~ > ls -l b drwxr-xr-x 3 huhn huhn 1024 Aug 21 21:48 ./ drwxr-xr-x 3 huhn huhn 1024 Aug 21 22:27 ../ -rw------- 1 huhn huhn 0 Aug 21 20:53 .datei -rw------- 1 huhn huhn 0 Aug 21 20:48 datei

Des Rätsels Lösung: Zuerst wird in b nach Dateien (-type f) gesucht, auf welche dann das Kommando chmod 600 angewendet wird. Das Unterverzeichnis selbst bleibt davon unberührt.

Neuer Besitzer oder Gruppe gewünscht?

Mit dem Programm chown lassen sich Dateien neue Besitzer zuordnen -- allerdings nur vom Superuser root. Der Aufruf ist einfach:

chown neuerBesitzer datei

Als "einfacher" User auf dem System erhält man die Fehlermeldung: chown: datei: Operation not permitted. Die Gruppe hingegen kann man selbst verändern, aber auch hier wird Sicherheit im System ganz groß geschrieben -- man darf die Datei nur den Gruppen zuordnen, in denen man selbst ist. Der Versuch, eine eigene Datei der Gruppe root "unterzuschieben" scheitert: chgrp: you are not a member of group `root': Operation not permitted. Wenn man nicht weiß, in welchen Gruppen man Mitglied ist, kann man übrigens einfach den Befehl id verwenden.

Neben separaten Aufrufen von chown und chgrp erlaubt Linux auch das gleichzeitige Verändern von Eigentümer und Gruppe. Ist man als root eingeloggt, kann man mit chown user.gruppe datei das File einem neuen Benutzer und gleichzeitig einer neuen Gruppe zuweisen.

Alte Unixe sind anders

Falls Sie in einem alten Unix-Buch von der Möglichkeit lesen, dass jeder Anwender Dateien mit chown "verschenken" kann, dann lesen Sie ein wirklich altes Buch -- dies ging mit einigen Unix-Varianten tatsächlich, ist aber heute nicht mehr üblich, weil damit unter anderem Quota-Regelungen (Plattenplatz-Beschränkungen pro Anwender) unterlaufen werden können. Sollte chown wider Erwarten auch für Nicht-root-Anwender funktionieren, dann schauen Sie mal, ob /bin/chown ein s-Bit hat... (hge)

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.