DevOps Wissensdatenbank
DevOps Wissensdatenbank

Linux-Dateiberechtigungen mit dem Befehl 'chmod' meistern

Beherrschen Sie den wesentlichen Linux-Befehl `chmod` für ein robustes Sicherheitsmanagement. Dieser praktische Leitfaden beschreibt sowohl die symbolische (`u+x`) als auch die oktale (numerische) Notation zum Festlegen präziser Lese-, Schreib- und Ausführungsberechtigungen für Dateien und Verzeichnisse. Lernen Sie Standardberechtigungen (644, 755), die rekursive Anwendung und die Verwendung spezieller Zugriffs-Bits für eine effektive Linux-Systemadministration kennen.

33 Aufrufe

Linux-Dateiberechtigungen mit dem Befehl 'chmod' meistern

Linux-Dateiberechtigungen sind das Fundament der Systemsicherheit und der Benutzerzugriffskontrolle. Das Verständnis und die Beherrschung des chmod-Befehls (Change Mode) ist für jeden Linux-Systemadministrator, Entwickler oder Power-User von entscheidender Bedeutung. Dieser Befehl ermöglicht es Ihnen, präzise festzulegen, wer (Benutzer, Gruppe, Andere) eine Datei oder ein Verzeichnis lesen, schreiben oder ausführen darf, was sich direkt auf die Stabilität und die Sicherheitslage Ihres Systems auswirkt.

Diese Anleitung führt Sie durch die beiden Hauptmethoden zur Verwendung von chmod – die symbolische Notation und die oktale (numerische) Notation – und bietet praktische Beispiele, damit Sie Dateizugriffsrechte sicher verwalten können.

Grundlagen der Linux-Berechtigungen verstehen

Bevor wir uns mit chmod befassen, ist es wichtig, die Struktur der Linux-Berechtigungen zu verstehen. Wenn Sie ls -l ausführen, zeigen die ersten 10 Zeichen der Ausgabe den Dateityp und die Berechtigungen an.

Beispiel: bei -rwxr-xr--:

  1. Erstes Zeichen: Dateityp (- für Datei, d für Verzeichnis, l für symbolischen Link usw.).
  2. Nächste neun Zeichen: Berechtigungen, unterteilt in drei Dreiergruppen:
    • Benutzer (u): Berechtigungen für den Eigentümer der Datei.
    • Gruppe (g): Berechtigungen für Mitglieder der besitzenden Gruppe der Datei.
    • Andere (o): Berechtigungen für alle anderen.

Jede Gruppe enthält drei Berechtigungstypen:

  • r (Lesen): Ermöglicht das Anzeigen des Dateiinhaltes oder das Auflisten von Verzeichnisinhalten.
  • w (Schreiben): Ermöglicht das Ändern oder Löschen der Datei oder das Erstellen/Löschen von Dateien innerhalb eines Verzeichnisses.
  • x (Ausführen): Ermöglicht das Ausführen einer Datei als Programm oder das Betreten (Durchsuchen) eines Verzeichnisses.

Methode 1: Symbolische Notation (Verwendung von Buchstaben)

Die symbolische Notation ist oft die intuitivste Methode, um spezifische Berechtigungen zu ändern, ohne andere zu beeinflussen. Sie verwendet Buchstaben, um die Entität, die Aktion und die Berechtigung darzustellen.

Symbolische Syntax

Die Syntax lautet im Allgemeinen: chmod [wer][Aktion][Berechtigungen] Datei(en)

Komponente Bedeutung Werte
Wer Zielentität u (user), g (group), o (others), a (all)
Aktion Durchzuführende Operation + (hinzufügen), - (entfernen), = (genau setzen)
Berechtigungen Berechtigungstyp r, w, x

Praktische symbolische Beispiele

1. Ausführungsberechtigung für den Eigentümer gewähren:

Wenn Sie ein Skript (myscript.sh) haben und nur der Eigentümer es ausführen soll:

chmod u+x myscript.sh

2. Gruppenmitgliedern das Schreiben erlauben:

Um Benutzern in der Gruppe der Datei das Bearbeiten der Datei zu ermöglichen:

chmod g+w shared_document.txt

3. Schreibberechtigungen für alle außer dem Eigentümer entfernen:

Dies ist eine gängige Sicherheitspraxis. Wir verwenden a-w, um allen den Schreibzugriff zu entziehen, und gewähren ihn dann explizit dem Benutzer erneut (u+w).

chmod a-w,u+w sensitive_data.log

4. Exakte Berechtigungen für Andere festlegen:

Verwenden Sie das Gleichheitszeichen (=), um alle vorhandenen Berechtigungen für „Andere“ zu überschreiben und sie nur auf Lesen festzulegen:

chmod o=r project_plan.doc

Methode 2: Oktale (Numerische) Notation

Die oktale Notation ist schneller und präziser, um alle Berechtigungen auf einmal festzulegen. Sie basiert auf der Zuweisung eines numerischen Wertes zur Kombination von Lese-, Schreib- und Ausführungsberechtigungen für jede Entität (Benutzer, Gruppe, Andere).

Berechnung der oktalen Werte

Jede Berechtigung entspricht einer Binärziffer, die in eine Basis-10-Zahl übersetzt wird:

  • r (Lesen) = 4
  • w (Schreiben) = 2
  • x (Ausführen) = 1
  • Keine Berechtigung = 0

Die Berechtigungen werden für jede Entitätsgruppe (Benutzer, Gruppe, Andere) summiert:

Kombination Summe Numerischer Wert
rwx 4 + 2 + 1 7
rw- 4 + 2 + 0 6
r-x 4 + 0 + 1 5
r-- 4 + 0 + 0 4
-wx 0 + 2 + 1 3
-w- 0 + 2 + 0 2
--x 0 + 0 + 1 1
--- 0 + 0 + 0 0

Um Berechtigungen mithilfe der oktalen Notation anzugeben, geben Sie drei Ziffern an: [Benutzer][Gruppe][Andere].

Praktische oktale Beispiele

1. Standard-Dateiberechtigungen (644):

Dies setzt die Berechtigungen auf Lesen/Schreiben für Benutzer, Nur-Lesen für Gruppe, Nur-Lesen für Andere.

  • Benutzer (rw-): 4 + 2 = 6
  • Gruppe (r--): 4
  • Andere (r--): 4
chmod 644 important_file.txt

2. Standard-Verzeichnisberechtigungen (755):

Dies ist die übliche Einstellung für Verzeichnisse, die es dem Eigentümer erlaubt, Inhalte zu verwalten, und anderen, das Verzeichnis aufzulisten/zu betreten.

  • Benutzer (rwx): 4 + 2 + 1 = 7
  • Gruppe (r-x): 4 + 1 = 5
  • Andere (r-x): 4 + 1 = 5
chmod 755 my_project_folder

3. Sichere Dateiberechtigungen (600):

Nur der Eigentümer kann lesen und schreiben; niemand sonst hat Zugriff.

  • Benutzer (rw-): 6
  • Gruppe (---): 0
  • Andere (---): 0
chmod 600 private_key.pem

4. Vollzugriff für alle (777) – Mit Vorsicht zu genießen!

Dies gewährt allen vollen Lese-, Schreib- und Ausführungsberechtigungen. Dies ist höchst unsicher und sollte im Allgemeinen nur für temporäre Testumgebungen vermieden werden.

chmod 777 public_upload_area

⚠️ Sicherheitswarnung: Die Einstellung von Berechtigungen auf 777 (Lesen/Schreiben/Ausführen für alle) ist selten erforderlich und beeinträchtigt die Sicherheit erheblich. Bevorzugen Sie restriktive Einstellungen wie 644 für Dateien und 755 für Verzeichnisse.

Spezielle Berechtigungen: Die vierte Ziffer

Bei der Verwendung der oktalen Notation können Sie den drei Ziffern optional eine vierte Ziffer voranstellen, um spezielle Berechtigungen für Dateien und Verzeichnisse festzulegen. Diese betreffen die Vererbung der Zugriffskontrolle und das Ausführungsverhalten.

Wert Name Wirkung auf Dateien Wirkung auf Verzeichnisse
4 SetUID (SUID) Die Datei wird mit den Berechtigungen des Eigentümers ausgeführt. Wird ignoriert
2 SetGID (SGID) Die Datei wird mit den Berechtigungen der Gruppe ausgeführt. Neue Dateien erben die Gruppen-ID des Verzeichnisses.
1 Sticky Bit Hat geringe Auswirkung. Benutzer können nur Dateien löschen, die ihnen innerhalb dieses Verzeichnisses gehören.

Beispiele für spezielle Berechtigungen

Um das SGID-Bit auf einem Verzeichnis namens shared_group_files festzulegen (unter der Annahme von Standardberechtigungen von 770):

  • 770 (Benutzer/Gruppe/Andere) + 2 (SGID) = 2770
chmod 2770 shared_group_files

Um das SUID-Bit auf einem ausführbaren Skript festzulegen, wodurch dem Benutzer bei der Ausführung erhöhte Rechte gewährt werden (häufig für Dienstprogramme verwendet):

  • 4755 (SUID + rwxr-xr-x)
chmod 4755 system_utility

Berechtigungen rekursiv anwenden

Beim Verwalten ganzer Verzeichnisstrukturen müssen Sie die rekursive Option (-R) verwenden. Diese wendet die angegebenen Änderungen auf das Verzeichnis selbst sowie auf alle seine Inhalte (Dateien und Unterverzeichnisse) an.

Beispiel: Alle Dateien und Ordner innerhalb von web_root rekursiv auf 755 setzen:

chmod -R 755 web_root/

Best Practice: Wenn Sie rekursive Änderungen vornehmen, ist es oft ratsam, Verzeichnisse separat auf 755 und Dateien auf 644 festzulegen, wenn Sie eine strikte Trennung zwischen Ausführungsrechten für Dateien und Durchquerungsrechten für Verzeichnisse benötigen.

Fazit

Der chmod-Befehl ist ein grundlegendes Werkzeug zur Aufrechterhaltung einer sicheren und funktionsfähigen Linux-Umgebung. Ob Sie die explizite, additive Natur der symbolischen Notation (u+x) oder die prägnante Leistungsfähigkeit der oktalen Notation (755) bevorzugen, die Beherrschung beider stellt sicher, dass Sie Dateizugriffe zuverlässig verwalten können. Überprüfen Sie die Berechtigungen nach jeder Änderung immer mit ls -l, um zu bestätigen, dass der Modus korrekt eingestellt wurde.