Schützen von Dateien mithilfe von UNIX-Berechtigungen

Dateien können mithilfe von UNIX-Dateiberechtigungen und ACLs gesichert werden. Dateien mit Sticky Bits und ausführbare Dateien erfordern spezielle Sicherheitsmaßnahmen.

Befehle zum Anzeigen und Schützen von Dateien

In dieser Tabelle werden die Befehle zum Überwachen und Schützen von Dateien und Verzeichnissen aufgeführt.

Tabelle 6-1 Befehle zum Schützen von Dateien und Verzeichnissen

Befehl	Description (Beschreibung)	Manpage
`ls`	Zeigt die Dateien in einem Verzeichnis und Informationen zu den Dateien an	`ls`(1)
`chown`	Ändert die Eigentümerschaft einer Datei	`chown`(1)
`chgrp`	Ändert die Gruppeneigentümerschaft einer Datei	`chgrp`(1)
`chmod`	Ändert die Berechtigungen für eine Datei. Sie können die Berechtigungen für eine Datei entweder im symbolischen Modus (mit Buchstaben und Symbolen) oder im absoluten Modus (mit Oktalzahlen) ändern.	`chmod`(1)

Datei- und Verzeichniseigentümerschaft

Herkömmliche UNIX-Dateiberechtigungen können drei Klassen von Benutzern Eigentümerschaft zuweisen:

User: Der Datei- oder Verzeichniseigentümer, der normalerweise dem Benutzer entspricht, der die Datei erstellt hat. Der Benutzer einer Datei kann entscheiden, wer in der Datei lesen, schreiben (Änderungen vornehmen) oder (bei ausführbaren Dateien) wer sie ausführen kann.
Group: Mitglieder einer Gruppe von Benutzern
Other: Alle anderen Benutzer, die weder Eigentümer der Datei noch Mitglieder der Gruppe sind.

Der Eigentümer der Datei kann normalerweise Dateiberechtigungen zuweisen oder ändern. Darüber hinaus können Benutzer oder Rollen mit administrativen Fähigkeiten, wie der Superuser oder die Rolle "Primary Administrator", die Eigentümerschaft für eine Datei ändern. Informationen zum Überschreiben der Systemrichtlinie finden Sie unter Beispiel 6-2.

Es gibt sieben Dateitypen. Jeder Typ wird durch ein Symbol dargestellt:

- (Minussymbol): Text oder Programm
b: Spezielle Blockdatei
c: Spezielle Zeichendatei
d: Verzeichnis
l: Symbolischer Link
s: Socket
D: Door (Verweis)
P: Benannte Pipe (FIFO)

UNIX-Dateiberechtigungen

In der folgenden Tabelle werden die Berechtigungen aufgeführt und beschrieben, die Sie den einzelnen Benutzerklassen für eine Datei oder ein Verzeichnis gewähren können.

Tabelle 6-2 Datei- und Verzeichnisberechtigungen

Symbol	Berechtigung	Objekt	Description (Beschreibung)
`r`	Lesen	Datei	Die angegebenen Benutzer können eine Datei öffnen und ihren Inhalt lesen.
		Verzeichnis	Die angegebenen Benutzer können die Dateien im Verzeichnis anzeigen.
`w`	Schreiben	Datei	Die angegebenen Benutzer können den Inhalt der Datei ändern oder die Datei löschen.
		Verzeichnis	Die angegebenen Benutzer können Dateien hinzufügen oder dem Verzeichnis Links hinzufügen. Sie können außerdem Dateien oder Links aus dem Verzeichnis entfernen.
`x`	Ausführen	Datei	Die angegebenen Benutzer können die Datei ausführen, wenn sie ein Programm oder Shell-Skript ist. Sie können das Programm auch mit einem der `exec(2)`-Systemaufrufe ausführen.
		Verzeichnis	Die angegebenen Benutzer können Dateien im Verzeichnis öffnen oder ausführen. Sie können das Verzeichnis und dessen Unterverzeichnisse als das aktuelle Verzeichnis festlegen.
`-`	Verweigert	Datei und Verzeichnis	Die angegebenen Benutzer können die Datei nicht lesen, nicht darin schreiben und sie auch nicht ausführen.

Die Dateiberechtigungen gelten für normale und besondere Dateien wie Geräte, Sockets oder benannte Pipes (FIFOs).

Für einen symbolischen Link gelten die gleichen Berechtigungen wie für die Datei, auf die der Link verweist.

Sie können die Dateien in einem Verzeichnis und dessen Unterverzeichnissen schützen, indem Sie die Berechtigungen für dieses Verzeichnis einschränken. Beachten Sie jedoch, dass der Superuser auf alle Dateien und Verzeichnisse im System Zugriff hat.

Besondere Dateiberechtigungen (`setuid`, `setgid` und Sticky Bit)

Drei besondere Berechtigungstypen sind für ausführbare Dateien und öffentliche Verzeichnisse verfügbar: setuid, setgid und Sticky Bit. Wenn diese Berechtigungen eingestellt sind, übernimmt jeder Benutzer, der die ausführbare Datei ausführt, die ID des Eigentümers (oder der Gruppe) der ausführbaren Datei.

Sie müssen bei der Gewährung besonderer Berechtigungen überlegt vorgehen, da diese Berechtigungen ein Sicherheitsrisiko darstellen können. Ein Benutzer kann beispielsweise Superuser-Rechte erhalten, indem er ein Programm ausführt, dass die Benutzer-ID (UID) auf 0 einstellt. Dies entspricht der UID des root-Benutzers. Außerdem können alle Benutzer besondere Berechtigungen für ihre eigenen Dateien einstellen, was ein weiteres Sicherheitsrisiko bedeutet.

Überwachen Sie Ihr System auf nicht autorisierte Verwendung der setuid- und setgid-Berechtigung zum Erhalt von Superuser-Rechten. Eine verdächtige Berechtigung weist einem Benutzer statt root oder bin die Eigentümerschaft für ein administratives Programm zu. Informationen zum Suchen und Anzeigen aller Dateien, die diese besondere Berechtigung verwenden, finden Sie unter So suchen Sie Dateien mit besonderen Dateiberechtigungen.

`setuid`-Berechtigung

Wenn eine setuid-Berechtigung für eine ausführbare Datei eingestellt wird, erhält der ausführende Prozess Zugriff auf der Basis des Dateieigentümers. Der Zugriff entspricht nicht dem Benutzer, der die Datei ausführt. Diese besondere Berechtigung ermöglicht einem Benutzer, auf die Datei und die Verzeichnisse zuzugreifen, die normalerweise nur für den Eigentümer verfügbar sind.

Die setuid-Berechtigung im passwd-Befehl ermöglicht Benutzern beispielsweise, Passwörter zu ändern. Ein passwd-Befehl mit einer setuid-Berechtigung kann wie folgt aussehen:

-r-sr-sr-x   3 root     sys       28144 Jun 17 12:02 /usr/bin/passwd

Diese besondere Berechtigung stellt ein Sicherheitsrisiko dar. Entschlossene Benutzer finden sicher eine Möglichkeit, die vom setuid-Prozess gewährten Berechtigungen nach der Beendigung des Prozesses weiterhin zu behalten.

Hinweis - Bei Verwendung der setuid-Berechtigungen mit den reservierten UIDs (0 – 100) von einem Programm wird die effektive UID möglicherweise nicht richtig eingestellt. Verwenden Sie ein Shell-Skript oder vermeiden Sie die Verwendung der reservierten UIDs mit setuid-Berechtigungen.

`setgid`-Berechtigung

Die setgid-Berechtigung ist der setuid-Berechtigung ähnlich. Die effektive Gruppen-ID (GID) des Prozesses wird in die Gruppe geändert, die über die Datei verfügt, und ein Benutzer erhält basierend auf den der Gruppe gewährten Berechtigungen Zugriff. Der Befehl /usr/bin/mail verfügt über setgid-Berechtigungen:

-r-x--s--x   1 root   mail     67504 Jun 17 12:01 /usr/bin/mail

Wenn die setgid-Berechtigung auf ein Verzeichnis angewendet wird, gehören die in diesem Verzeichnis erstellten Dateien zu der gleichen Gruppe wie das Verzeichnis. Die Dateien gehören nicht der Gruppe, zu der der erstellende Prozess gehört. Jeder Benutzer, der über Schreib- und Ausführungsberechtigungen in dem Verzeichnis verfügt, kann eine Datei dort erstellen. Die Datei gehört jedoch zu der Gruppe, zu der das Verzeichnis gehört, und nicht zu der Gruppe, zu der der Benutzer gehört.

Überwachen Sie Ihr System auf nicht autorisierte Verwendung der setgid-Berechtigung zum Erhalt von Superuser-Rechten. Eine verdächtige Berechtigung gewährt einer ungewöhnlichen Gruppe Gruppenzugriff auf ein solches Programm anstatt auf root oder bin. Informationen zum Suchen und Anzeigen aller Dateien, die diese Berechtigung verwenden, finden Sie unter So suchen Sie Dateien mit besonderen Dateiberechtigungen.

Sticky Bit

Die Sticky Bit-Berechtigung schützt die Dateien in einem Verzeichnis. Wenn für das Verzeichnis das Sticky Bit eingestellt ist, kann eine Datei nur von dem Dateieigentümer, dem Verzeichniseigentümer oder einem privilegierten Benutzer gelöscht werden. Der root-Benutzer und die Rolle "Primary Administrator" sind Beispiele für privilegierte Benutzer. Das Sticky Bit verhindert, dass ein Benutzer Dateien anderer Benutzer in öffentlichen Verzeichnissen wie /tmp löscht:

drwxrwxrwt 7  root  sys   400 Sep  3 13:37 tmp

Stellen Sie das Sticky Bit unbedingt manuell ein, wenn Sie ein öffentliches Verzeichnis oder ein TMPFS-Dateisystem einrichten. Anweisungen finden Sie unter Beispiel 6-5.

`umask`-Standardwert

Dateien oder Verzeichnisse werden mit Standardberechtigungen erstellt. Die Standardwerte des Systems sind offen. Eine Textdatei verfügt über die Berechtigungen 666, die allen Benutzern Lese- und Schreibzugriff auf die Datei gewährt. Ein Verzeichnis und eine ausführbare Datei verfügen über die Berechtigungen 777, die alle Benutzer zum Lesen, Schreiben und Ausführen berechtigen. Üblicherweise überschreiben Benutzer die Standardwerte des Systems in den Dateien /etc/profile, .cshrc oder .login.

Der durch den Befehl umask zugewiesene Wert wird vom Standardwert subtrahiert. Mit diesem Prozess werden Berechtigungen verweigert und zwar auf ähnliche Art, wie sie vom Befehl chmod gewährt werden. Mit dem Befehl chmod 022 gewähren Sie der Gruppe und anderen Benutzern eine Schreibberechtigung. Mit dem Befehl umask 022 entziehen Sie der Gruppe und anderen Benutzern die Schreibberechtigung.

Die folgende Tabelle zeigt einige typische umask-Einstellungen und wie sie sich auf eine ausführbare Datei auswirken.

Tabelle 6-3 umask-Einstellungen für unterschiedliche Sicherheitsebenen

Sicherheitsebene	`umask`-Einstellung	Verweigerte Berechtigungen
Niedrig (`744`)	`022`	`w` für Gruppe und andere Benutzer
Mittel (`740`)	`027`	`w` für Gruppe, `rwx` für andere Benutzer
Mittel (`741`)	`026`	`w` für Gruppe, `rw` für andere Benutzer
Hoch (`700`)	`077`	`rwx` für Gruppe und andere Benutzer

Weitere Informationen zum Einstellen des umask-Werts finden Sie auf der Manpage umask(1).

Dateiberechtigungsmodi

Mit dem Befehl chmod können Sie die Berechtigungen für eine Datei ändern. Sie müssen Superuser oder Eigentümer einer Datei oder eines Verzeichnisses sein, um dessen Berechtigungen zu ändern.

Mit dem Befehl chmod können Sie die Berechtigungen in einem der beiden Modi einstellen:

Absoluter Modus: Dateiberechtigungen werden als Zahlen dargestellt. Wenn Sie Berechtigungen im absoluten Modus ändern, stellen Sie die Berechtigungen für jede Dreiergruppe als Oktalmoduszahl dar. Der absolute Modus wird zum Einstellen der Berechtigungen am häufigsten verwendet.
Symbolischer Modus: Um Berechtigungen hinzuzufügen oder zu ändern, werden Kombinationen aus Buchstaben und Symbolen verwendet.

In der folgenden Tabelle werden die Oktalwerte zur Einstellung der Dateiberechtigungen im absoluten Modus aufgeführt. Die Zahlen werden in Dreiergruppen verwendet, um die Berechtigungen für Eigentümer, Gruppe und andere Benutzer (in dieser Reihenfolge) einzustellen. Mit dem Wert 644 werden beispielsweise Lese- und Schreibberechtigungen für den Eigentümer sowie Leseberechtigungen für die Gruppe und andere Benutzer eingestellt.

Tabelle 6-4 Einstellen der Dateiberechtigungen im absoluten Modus

Oktalwert	Eingestellte Dateiberechtigungen	Beschreibung der Berechtigungen
`0`	`---`	Keine Berechtigungen
`1`	`--x`	Nur Ausführungsberechtigung
`2`	`-w-`	Nur Schreibberechtigung
`3`	`-wx`	Schreib- und Ausführungsberechtigung
`4`	`r--`	Nur Leseberechtigung
`5`	`r-x`	Lese- und Ausführungsberechtigung
`6`	`rw-`	Lese- und Schreibberechtigung
`7`	`rwx`	Lese-, Schreib- und Ausführungsberechtigung

In der folgenden Tabelle werden die Symbole zum Festlegen von Dateiberechtigungen im symbolischen Modus aufgeführt. Symbole können angeben, wessen Berechtigungen eingestellt oder geändert werden, welcher Vorgang ausgeführt wird und welche Berechtigungen zugewiesen oder geändert werden.

Tabelle 6-5 Einstellen der Dateiberechtigungen im symbolischen Modus

Symbol	Funktion	Description (Beschreibung)
`u`	`wer`	Benutzer (Eigentümer)
`g`	`wer`	Gruppe
`o`	`wer`	Andere
`a`	`wer`	Alle
`=`	`Operator`	Zuweisen
`+`	`Operator`	Hinzufügen
`-`	`Operator`	Entfernen
`r`	`Berechtigungen`	Lesen
`w`	`Berechtigungen`	Schreiben
`x`	`Berechtigungen`	Ausführen
`l`	`Berechtigungen`	Obligatorische Sperrung, `setgid`-Bit ist aktiviert, Gruppenausführungs-Bit ist deaktiviert
`s`	`Berechtigungen`	`setuid`- oder `setgid`-Bit ist aktiviert
`t`	`Berechtigungen`	Sticky Bit ist aktiviert, Ausführungs-Bit für andere Benutzer ist aktiviert

Die Bezeichnungen wer, Operator, Berechtigungen in der Spalte "Funktion" dienen zur näheren Beschreibung der Symbole zum Ändern der Berechtigungen für die Datei oder das Verzeichnis.

wer: Gibt an, wessen Berechtigungen geändert werden
Operator: Gibt an, welcher Vorgang ausgeführt wird
Berechtigungen: Gibt an, welche Berechtigungen geändert werden sollen

Sie können besondere Berechtigungen für eine Datei im absoluten oder symbolischen Modus einstellen. Um setuid-Berechtigungen für ein Verzeichnis einzustellen oder zu entfernen, müssen Sie jedoch den symbolischen Modus verwenden. Im absoluten Modus stellen Sie besondere Berechtigungen ein, indem Sie links neben der Berechtigungsdreiergruppe einen neuen Oktalwert hinzufügen. In der folgenden Tabelle werden die Oktalwerte zum Einstellen besonderer Berechtigungen für eine Datei aufgeführt.

Tabelle 6-6 Einstellen der Dateiberechtigungen im absoluten Modus

Oktalwert	Besondere Dateiberechtigungen
`1`	Sticky Bit
`2`	`setgid`
`4`	`setuid`

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices