Eigentümer, Gruppen und andere Nutzer

Natürlich darf nicht jeder Benutzer eines Unixsystems alle Dateien manipulieren. Die entsprechenden Rechte werden über Attribute der Dateien verwaltet. Wir betrachten dazu die Ausgabe des -Kommandos mit den Optionen . Die Option bewirkt gewöhnlich die Ausgabe der zugehörigen Gruppe. In unserem Linux ist diese Option schon implizit in der Option enthalten.

svr50> cd
svr50> ls -l
total 2
-rwxr-x---  1 hansen edv1          9 Sep 29 17:20 clean
drwxr-xr-x  2 hansen edv1        512 Oct 29 18:39 texte
svr50>

Die Ausgabe des Kommandos bedeutet im einzelnen folgendes:

• In der ersten Zeile wird nach dem Wort angegeben, wieviele Blöcke die Einträge in diesem Verzeichnis belegen. Ein Block belegt normalerweise 512 Byte. Darauf folgt eine Liste aller Dateien, wobei pro Datei eine Zeile an Informationen ausgegeben wird.
• In der ersten Spalte stehen das Dateiartbit und die 9 Zugriffsrechtebits (protection bits), wobei jedes Bit durch ein druckbares Zeichen dargestellt wird. Das Dateiartbit kann folgende Einträge haben:
  • Datei ist ein Verzeichnis (directory)
  • Datei ist ein symbolischer Linkeintrag (Soft-Link) auf eine andere Datei
  • normale Datei
  • Blockorientierte Gerätedatei
  • Characterorientierte Gerätedatei
  • FIFO-Puffer (named pipe special file)
  Die Zugriffsrechte werden gleich erläutert.
• Die Zahl in der zweiten Spalte gibt die Anzahl der Links auf diese Datei an.
• In der dritten und vierten Spalte stehen der Name des Besitzers und der zugehörigen Gruppe.
• In der fünften Spalte wird die Dateilänge in Bytes angegeben.
• In den nächsten Spalten wird Datum und Uhrzeit der letzten Änderung angegeben. Bei sehr alten Dateien wird statt der Uhrzeit das Jahr angegeben.
• In der letzten Spalte steht der Name der Datei.

Für die Zugriffsrechte muss man die folgenden drei Benutzerklassen unterscheiden:

• u (user) -- der Besitzer einer Datei.
• g (group) -- die Gruppe, der die Datei zugeordnet ist angehört.
• o (other) -- alle anderen Benutzer.

-rwxr-xr--   1 hansen edv1    75858 Jun 18 15:13 linux.tex
-rw-rw-r--   1 hansen edv1    64575 Jun 17 13:32 aufgabe.txt
lrwxrwxrwx   1 hansen edv1     1024 May 12 11:38 edv -> /home/stokes/EDV1/
drwxr-x--x   1 hansen edv1    64575 Jun 17 13:32 public
       |||other
    |||group
 |||user
|Dateiart

Für jede dieser drei Benutzerklassen werden drei verschiedene Zugriffsrechte gesetzt:

• r (read) Lesen
• w (write) Schreiben
• x (execute) Ausführen

Insgesamt können also 9 Zugriffsrechte pro Datei gesetzt werden. Diese Zugriffsrechte gibt es für alle Dateien, also auch für Gerätedateien und Verzeichnisse. Mit der Vergabe von Rechten sollte aus Gründen des Datenschutzes und der Datensicherheit sehr vorsichtig umgegangen werden. An der Ausgabe des Kommandos im obigen Beispiel kann man die Zugriffsrechte ablesen. Die ersten drei Bits zeigen die Rechte des Eigentümers, die mittleren die Rechte der Gruppenmitglieder und die letzten drei Bits die Rechte aller anderen Benutzer an. Die Datei besitzt z.B. als protection mode . Dies bedeutet, dass der Eigentümer (also hansen) diese Datei lesen, auf ihr schreiben und sie ausführen darf. Alle Gruppenmitglieder der Benutzergruppe edv1 dürfen diese Datei nur lesen oder ausführen. Andere Benutzer dürfen auf diese Datei nur lesend zugreifen.

Die Zugriffsrechte auf Verzeichnisse stellen eine Spezialität dar. Die protection bits sind gleich denen von normalen Dateien, jedoch besitzen die Zugriffsrechte eine etwas andere Bedeutung:

• Um ein Verzeichnis ansehen oder durchsuchen zu können, benötigt man nicht nur das Leserecht für dieses Verzeichnis, sondern auch das Ausführungsrecht. Es müssen also das r- und das x-Bit gesetzt sein.
• Ist das w-Bit eines Verzeichnisses für eine Benutzerklasse gesetzt, so kann jedes Mitglied dieser Klasse eigene Dateien in dieses Verzeichnis eintragen. Eigentümer dieser neuen Dateien ist der Benutzer, der die Datei anlegt. Es ist sehr gefährlich, diese Schreibberechtigung zu vergeben, da jeder, der das Schreibrecht für ein Verzeichnis hat, auch Dateien aus dem Verzeichnis löschen kann, und zwar unabhängig davon, ob er irgendwelche Zugriffsrechte auf diese Datei besitzt oder nicht.
• Wenn jemand Unterverzeichnisse für andere Benutzer zugänglich machen will, muss in allen Verzeichnissen, die in der Hierarchie darüber liegen, mindestens das entsprechende x-Bit gesetzt sein. Beispiel:

  svr50>pwd
  /home/svr50/hansen/www/
  svr50>ls
  index.html
  

  Die Datei soll für alle (other) lesbar sein. Dann muss in den Verzeichnissen , , und das x-Bit für ,,other`` gesetzt sein, und für die Datei selbst muss das r-Bit gesetzt sein. Anschaulich gesprochen müssen die Nutzer die übergeordneten Verzeichnisse durchlaufen können und dann das Recht haben, die Datei zu lesen.

Mit dem Kommando (change mode) kann der Eigentümer einer Datei die Zugriffsrechte dieser Datei ändern. Für dieses Kommando gibt es zwei syntaktisch verschiedene Formen, die aus verschiedenen Unix-,,Dialekten`` herrühren:

oder

Im ersten Fall gibt der Benutzer eine permissionlist und den Namen der Datei an, deren protection mode geändert werden soll, und zwar durch gezieltes Hinzufügen oder Wegnehmen von Zugriffsrechten einzelner Benutzerklassen.

Die permissionlist hat dabei folgende Form: benutzerklasse $\pm$ rechte. Als Benutzerklasse ist außer den drei bekannten (u, g und o) noch eine Sammelklasse a (all) möglich. Beispiel:

svr50> ls -l
total 2
-rwxr-xr--  1 hansen edv1         9 Sep 29 15:22 clean
drwxr-xr-x  2 hansen edv1       512 Sep 29 15:38 texte
svr50> chmod o-r clean
svr50> chmod go-rx texte
svr50> ls -l
total 2
-rwxr-x---  1 hansen edv1         9 Sep 29 15:22 clean
drwx------  2 hansen edv1       512 Sep 29 15:38 texte
svr50>

In der zweiten Form des Kommandos wird der protection mode als ganzer neu gesetzt. Dabei steht ooo für eine dreistellige Oktalzahl, die als Binärzahl, s. Kapitel 5, gelesen genau dort die Einsen hat, wo das entsprechende Zugriffsrecht gesetzt sein soll. Beispiel:

svr50> chmod 754 clean
svr50> ls -l
total 2
-rwxr-xr--  1 hansen edv1         9 Sep 29 15:22 clean
drwx------  2 hansen edv1       512 Sep 29 15:38 texte
svr50>

Die Oktalzahl 754 lautet in Binärdarstellung , was genau den Zugriffsrechten der Datei clean entspricht.

Bei jeder Erstellung einer Datei werden automatisch vom System voreingestellte protection bits gesetzt. Diese Voreinstellung kann und sollte vom Benutzer bei Sitzungsbeginn auf seine eigenen Bedürfnisse hin mit dem Kommando (user mask) geändert werden.

ooo ist hierbei wieder eine Oktalzahl, die allerdings etwas anders wirkt als beim Kommando . Die Bits, die in der Maske bestimmt sind, werden beim anlegen der Datei gerade nicht gesetzt. Man bestimmt also, welche Rechte nicht gewährt werden sollen. Beispiel:

svr50> umask 177
svr50> cp clean testdatei
svr50> ls -l
total 3
-rwxr-xr--  1 hansen edv1         9 Sep 29 15:22 clean
-rw-------  1 hansen edv1         9 Sep 29 15:54 testdatei
drwx------  2 hansen edv1       512 Sep 29 15:38 texte
svr50> umask
177
svr50>

Jede von diesem Zeitpunkt an erzeugte Datei wird read- und write-Berechtigung für den Eigentümer besitzen, andere Benutzer haben überhaupt keine Zugriffsrechte. Das Kommando ohne Argument liefert die momentan gültige Einstellung der Maske.

Es sei hier nocheinmal auf den Systemadministrator `root' verwiesen. Für ihn gelten die Einschränkungen bezüglich der Zugriffsrechte auf Dateien nicht. Er kann sich im gesamten Verzeichnisbaum bewegen, Dateien lesen, verschieben oder auch löschen. Mit dem Passwort für root hat man also umfassende Kontrolle über das System, was zur Aufrechterhaltung eines ungestörten Betriebs des Systems sicher notwendig ist, aber auch eine Missbrauchsgefahr darstellt.