674 lines
32 KiB
TeX
674 lines
32 KiB
TeX
|
% <#>-----------------------------------------------------------------------<#>
|
||
|
\section{Benutzer, Gruppen und Dateiberechtigungen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen}
|
||
|
|
||
|
Die Verwaltung von Benutzer, Gruppen und Dateiberechtigungen unter Unix-artigen
|
||
|
Systemen sind identisch. Das hat den Vorteil, dass es für Anwender einfacher ist
|
||
|
Benutzer, Gruppen und Dateiberechtigungen auf Linux Distributionen wie Debian,
|
||
|
Ubuntu, Linux Mint oder RHEL, CentOS, Fedora als auch BSD Distributionen wie
|
||
|
MacOS, FreeBSD oder OpenBSD zu übertragen.
|
||
|
|
||
|
Optional können durch sogenannte \acrfull{acr:acl} Berechtigungen
|
||
|
erweitert werden, um die Rechtevergabe für Benutzer und Gruppen noch feiner
|
||
|
einteilen zu können.
|
||
|
|
||
|
In der Praxis gibt es jedoch sehr selten Szenarien, bei denen dies notwendig ist.
|
||
|
Aus diesem Grund liefern manche Distributionen die notwendigen Programme zum
|
||
|
verfeinern der Rechtevergabe nicht standardmäßig aus.
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsection{Benutzer und Gruppen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.benutzer-und-gruppen}
|
||
|
|
||
|
Linux ist als Mehrbenutzer-Betriebssystem entwickelt worden. Dies bedeutet, dass
|
||
|
mehrere Benutzer gleichzeit auf dem System Prozesse ausführen können. Dabei
|
||
|
werden die Berechtigungen auf Dateien und Verzeichnisse klar durch den Besitzer,
|
||
|
als auch durch die Gruppe, welche als mehrere Benutzern bestehen kann, geregelt.
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Benutzer}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.benutzer-und-gruppen.benutzer}
|
||
|
|
||
|
Man unterscheidet bei Benutzern zwischen funktionalen und realen Benutzern.
|
||
|
Funktionale Benutzer werden vorwiegend für Dienste verwendet, um zu vermeiden,
|
||
|
dass der Dienst ungewollt auf Dateien und Verzeichnisse Zugriff erhält. Aus
|
||
|
diesem Grund wird auch vermieden, dass funktionale Benutzer eine Shell öffnen
|
||
|
können. Dazu später mehr.
|
||
|
|
||
|
Reale Benutzer sind natürliche Personen, die sich entweder direkt per
|
||
|
Desktopmanager, einer Shell oder über ein Protokoll (\acrshort{acr:rdp},
|
||
|
\acrshort{acr:ssh}, \acrshort{acr:vnc}) Zugang verschaffen.
|
||
|
|
||
|
Alle Benutzer werden in der Datei \textit{/etc/passwd} gelistet. Sie wird als
|
||
|
Tabellenform geführt, getrennt durch einen Doppelpunkt \textbf{:}. Zur
|
||
|
einfacheren Darstellung kann folgender Befehl verwendet werden.
|
||
|
|
||
|
\begin{bashcode}
|
||
|
cat /etc/passwd | column --table --separator :
|
||
|
\end{bashcode}
|
||
|
|
||
|
Die Spalten, exemplarisch für den Benutzer root, haben folgende Bedeutung:
|
||
|
|
||
|
\begin{itemize}[itemsep=0pt]
|
||
|
\item[\textbf{1. Spalte}] Name des Benutzers
|
||
|
\item[\textbf{2. Spalte}] Ehemals Spalte für das Kennwort. Das \textit{x}
|
||
|
kennzeichnet, dass für den Benutzer in der Datei \textit{/etc/shadow} ein
|
||
|
Kennwort existiert. Dazu später mehr.
|
||
|
\item[\textbf{3. Spalte}] Die ID des Benutzers. Wird oft auch als \textit{UID}
|
||
|
angegeben.
|
||
|
\item[\textbf{4. Spalte}] Die ID der Hauptgruppe. Wird oft auch als \textit{GID}
|
||
|
angegeben.
|
||
|
\item[\textbf{5. Spalte}] Erweiterter Name des Benutzers. Damit
|
||
|
nachvollziehbar ist, welchem Dienst oder welcher realen Person der Benutzer
|
||
|
zuzuordnen ist.
|
||
|
\item[\textbf{6. Spalte}] Das Heimatverzeichnis des Benutzers. Im Regelfall
|
||
|
wird dieses Verzeichnis betreten, sofern der Benutzer sich über eine
|
||
|
Login-Shell anmeldet. Die Tilde verweist auf das hier definierte
|
||
|
Heimatverzeichnis.
|
||
|
\item[\textbf{7. Spalte}] Enthält den absoluten Pfad zur Login-Shell. Dies ist
|
||
|
im Regelfall die \acrfull{acr:bash}. Um zu vermeiden, dass sich als Benutzer
|
||
|
eines Dienstes angemeldet werden kann, kann hier auch auf
|
||
|
\textit{/usr/bin/nologin} verwiesen werden.
|
||
|
\end{itemize}
|
||
|
|
||
|
Die 2. Spalte wurde ausgelagert nach \textit{/etc/shadow}, um die Sicherheit auf
|
||
|
dem System zu erhöhen. In der Datei \textit{/etc/shadow} werden weitere
|
||
|
Informationen gespeichert. Beispielsweise die Information, mit welchem
|
||
|
Hash-Algorithmus die Kennwörter gehasht wurden bzw. wie der Salt-Wert lautet.
|
||
|
|
||
|
Erzeugen Sie sich erneut mit dem genannten Befehl aus Kapitel
|
||
|
\ref{sec:benutzer-gruppen-und-berechtigungen.benutzer-und-gruppen.benutzer} eine
|
||
|
Ausgabe in tabellarischer Form für die Datei \textit{/etc/shadow}. Die Spalten
|
||
|
haben folgende Bedeutung:
|
||
|
|
||
|
\begin{itemize}[itemsep=0pt]
|
||
|
\item[\textbf{1. Spalte}] Name des Benutzers.
|
||
|
\item[\textbf{2. Spalte}] Das Kennwort, gespeichert als Hash mit Informationen
|
||
|
zum Hash.-Algorithmus. Der Wert \textit{!!} bedeutet, dass kein Kennwort
|
||
|
definiert wurde.
|
||
|
\item[\textbf{3. Spalte}] Enthält die Tage seit Beginn der Unix-Zeitrechnung,
|
||
|
wann das Kennwort zuletzt geändert wurde.
|
||
|
\item[\textbf{4. Spalte}] Tage bevor das Kennwort geändert werden muss.
|
||
|
\item[\textbf{5. Spalte}] Tage ab wann eine Warnung ausgegeben werden soll,
|
||
|
dass das Kennwort abläuft.
|
||
|
\item[\textbf{6. Spalte}] Tage bevor das Kennwort abläuft, nachdem keine
|
||
|
Anmeldung erfolgt ist.
|
||
|
\item[\textbf{7. Spalte}] Enthält die Tage seit Beginn der Unix-Zeitrechnung,
|
||
|
seit dem das Kennwort abgelaufen ist.
|
||
|
\item[\textbf{8. Spalte}] Reservierte Spalte. Wird aktuell nicht verwendet.
|
||
|
\end{itemize}
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 1a:} Ermitteln Sie den Hash-Algorithmus, welcher
|
||
|
verwendet wurde um Ihr Kennwort zu hashen.
|
||
|
\item \textbf{Aufgabe 1b:} Wann beginnt die Unix-Zeitrechnung?
|
||
|
\item \textbf{Aufgabe 1c:} Wann wurde zuletzt das Kennwort des Benutzers root geändert?
|
||
|
\item \textbf{Aufgabe 1d:} Ermitteln Sie die \textbf{User-ID} ihres aktuellen
|
||
|
Benutzers mithilfe eines Befehls, welcher in den GNU Core Utilities enthalten
|
||
|
und dem Bereich \glqq{}Shell Utilities\grqq{} zugeordnet ist.
|
||
|
\item \textbf{Aufgabe 1e:} Nutzen Sie den Befehl \textit{wc}, um alle
|
||
|
eingerichteten Benutzer auf ihrem System zu zählen. Lesen Sie die Manpage für
|
||
|
weitere Informationen zu diesem Befehl.
|
||
|
\end{itemize}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Gruppen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.benutzer-und-gruppen.gruppen}
|
||
|
|
||
|
Ähnlich wie bei Benutzern gibt es auch Dateien in denen die Gruppen bzw.
|
||
|
Gruppenkennwörter festgehalten sind. Dies sind die Dateien \textit{/etc/group}
|
||
|
und \textit{/etc/gshadow}. Die beiden Dateien sind ähnlich wie
|
||
|
\textit{/etc/passwd} und \textit{/etc/shadow} aufgebaut. Sie enthalten jedoch
|
||
|
weniger Spalten.
|
||
|
|
||
|
Die Datei \textit{/etc/group} enthält eine Spalte für den Namen der Gruppe, ob
|
||
|
ein Eintrag in \textit{/etc/gshadow} vorhanden ist, die Gruppen-ID, als auch alle
|
||
|
Benutzer, welche der Gruppe angehören. Die Benutzer werden durch ein Komma.
|
||
|
|
||
|
Die Datei \textit{/etc/gshadow} enthält noch weniger Informationen. Die ersten
|
||
|
drei Spalten sind identisch zu den Spalten aus der Datei \textit{/etc/shadow}.
|
||
|
Die letzte Spalte enthält Benutzer, welcher das Kennwort ändern dürfen.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 2a:} Ermitteln Sie die \textbf{Gruppen-ID} ihres
|
||
|
aktuellen Benutzers mithilfe eines Befehls, welcher in den GNU Core Utilities
|
||
|
enthalten und dem Bereich \glqq{}Shell Utilities\grqq{} zugeordnet ist.
|
||
|
\item \textbf{Aufgabe 2b:} Nutzen Sie den Befehl \textit{wc}, um die Gruppen
|
||
|
zu zählen. Lesen Sie die Manpage für weitere Informationen zu diesem Befehl.
|
||
|
\end{itemize}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Benutzer root}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.root}
|
||
|
|
||
|
Der Benutzer root besitzt auf allen Unix-artigen Systemen die User-ID und
|
||
|
Gruppen-ID 0. Er besitzt vollen Zugriff auf das gesamte System und damit auf
|
||
|
alle Dateien und Einstellungen aller Benutzer. Er kann beispielsweise ohne
|
||
|
Einschränkungen auf alle angeschlossenen Geräte unter \textit{/dev} zugreifen.
|
||
|
|
||
|
Der Benutzer root ist ein funktionaler Benutzer, mit dem sich reale Benutzer
|
||
|
anmelden können, um Befehle, welche einen höheren Berechtigungsgrad benötigen,
|
||
|
auszuführen. Durch die Verwendung des Benutzers root ist nachträglich nicht mehr
|
||
|
nachvollziehbar, welcher reale Benutzer welchen Befehl ausgeführt hat. Aus
|
||
|
diesem Grund und anderen Gründen wurde das Programm \textit{sudo} entwickelt.
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{sudo}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.sudo}
|
||
|
|
||
|
Das Programm \textit{sudo} führt den nachgestellten Befehl mit root
|
||
|
Berechtigungen aus. Mithilfe von sudo lässt sich die Verwendung von root
|
||
|
Berechtigungen auf einzelne Benutzer einschränken. Für die Verwendung von
|
||
|
\textit{sudo} muss ein Benutzer der Gruppe \textit{wheel} unter RHEL basierenden
|
||
|
Distributionen angehören oder der Gruppe \textit{sudo} für Debian basierende
|
||
|
Distributionen.
|
||
|
|
||
|
Mithilfe des Befehls \textit{visudo} lässt sich die Konfiguration von
|
||
|
\textit{sudo} bearbeiten. Dort kann unter anderem auch eingestellt werden, dass
|
||
|
der Aufruf eines Befehls mit \textit{sudo} keiner erneuten Kennworteingabe des
|
||
|
Benutzers benötigt.
|
||
|
|
||
|
Mit dem folgenden Beispiel kann ein realer Benutzer mit \textit{sudo} den Ordner
|
||
|
\textit{/mnt/sda1} erstellen, für welchen root Berechtigungen notwendig sind, da
|
||
|
root der Eigentümer des Verzeichnisses \textit{/mnt} ist.
|
||
|
|
||
|
\begin{bashcode}
|
||
|
sudo mkdir --parent /mnt/sda1
|
||
|
\end{bashcode}
|
||
|
|
||
|
Möchte man mehrere Befehle mit root Berechtigungen ausführen lohnt sich die
|
||
|
Anmeldung als root Benutzer von einem normalen Benutzer aus. Dies kann entweder
|
||
|
mit \textit{sudo -i} oder alternativ mit \textit{su} erreicht werden.
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Passwort ändern}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.benutzer-und-gruppen.s}
|
||
|
|
||
|
Um das Passwort zu ändern reicht die Ausführung des Befehls \textit{passwd}.
|
||
|
Damit ist es möglich das Kennwort des gerade verwendeten Benutzers zu ändern.
|
||
|
Möchte man das Kennwort anderer Benutzer ändern, muss man root Berechtigungen
|
||
|
besitzen, sei es als Benutzer root oder per \textit{sudo}, und gibt hinter den
|
||
|
Befehl den Namen des Benutzers an, wessen Kennwort man ändern möchte.
|
||
|
|
||
|
Das Programm \textit{passwd} ändert dem entsprechend die Zeile in
|
||
|
\textit{/etc/shadow} für den Benutzer, für welchen das Passwort geändert werden
|
||
|
soll.
|
||
|
|
||
|
Nachteil von \textit{passwd} ist, dass es interaktiv bedient werden muss -
|
||
|
sprich, mit \textit{passwd} ist es nicht möglich Kennwörter von Benutzern per
|
||
|
Skript zu ändern. Aus diesem Grund wurde das Programm \textit{chpasswd}
|
||
|
entwickelt.
|
||
|
|
||
|
Allerdings möchte man nicht nur das Kennwort eines Benutzers ändern können,
|
||
|
sondern auch wann das Kennwort ablaufen soll oder ab wann das System eine
|
||
|
Warnung ausgeben soll. Mit Hilfe des Programms \textit{chage} ist dies möglich.
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Gruppe hinzufügen, bearbeiten und löschen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.gruppen.add-mod-rm}
|
||
|
|
||
|
Das Bearbeiten der Gruppen direkt in der Datei \textit{/etc/group} sollte
|
||
|
vermieden werden und stattdessen auf die Programme zurück gegriffen werden,
|
||
|
welche die Distribution bereit stellt.
|
||
|
|
||
|
Zum Erstellen, Bearbeiten und Löschen werden folgende Programme zur Verfügung
|
||
|
gestellt.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textit{groupadd:} Erstellt eine neue Gruppe
|
||
|
\item \textit{groupmod:} Modifiziert eine bestehende Gruppe
|
||
|
\item \textit{groupdel:} Löscht eine Gruppe
|
||
|
\end{itemize}
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 3a:} Estellen Sie die Gruppe \textit{hr} für
|
||
|
\textit{human resources} mit der \textit{GID} 2000.
|
||
|
\item \textbf{Aufgabe 3b:} Vergewissern Sie sich, dass in der Datei
|
||
|
\textit{/etc/group} die neue Gruppe mit entsprechender \textit{GID} angelegt wurde.
|
||
|
\item \textbf{Aufgabe 3c:} Benennen Sie die Gruppe \textit{hr} nach
|
||
|
\textit{dev} für \textit{development} um und überprüfen Sie, ob sich der Name
|
||
|
der Gruppe in der Datei \textit{/etc/group} geändert hat
|
||
|
\item \textbf{Aufgabe 3d:} Ändern Sie die \textit{GID} auf 3000 und überprüfen
|
||
|
Sie, ob diese sich in der Datei \textit{/etc/group} geändert hat.
|
||
|
\item \textbf{Aufgabe 3e:} Löschen Sie die Gruppe \textit{dev}
|
||
|
\end{itemize}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Benutzer hinzufügen, bearbeiten und löschen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.benutzer.add-mod-rm}
|
||
|
|
||
|
Ähnlich wie Gruppen können auch Benutzer hinzugefügt, modifiziert und gelöscht
|
||
|
werden. Auf folgende Befehle kann zurück gegriffen werden.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textit{useradd:} Erstellt einen neuen Benutzer
|
||
|
\item \textit{usermod:} Modifiziert einen bestehenden Benutzer
|
||
|
\item \textit{userdel:} Löscht den Benutzer
|
||
|
\end{itemize}
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 4a:} Erstellen Sie den Benutzer \textit{manfred} mit dem
|
||
|
Namen \textit{Manfred Mertens}. Der Benutzer nutzt die \acrlong{acr:bash}.
|
||
|
Sein Heimatverzeichnis soll unter \textit{/home} erstellt werden. Das Kennwort
|
||
|
lautet \textit{manni}. Seine Primärgruppe lautet \textit{manfred}. Als
|
||
|
\textit{UID} verwenden Sie \textit{2000}.
|
||
|
\item \textbf{Aufgabe 4b:} Setzen Sie das Ablaufdatum des Kennworts für den
|
||
|
Benutzer \textit{manni} auf den \textit{31. Juni 2021} und überprüfen Sie die
|
||
|
passende Spalte aus der Datei \textit{/etc/shadow}.
|
||
|
\item \textbf{Aufgabe 4c:} Fügen Sie den Benutzer der Gruppe \textit{wheel} hinzu.
|
||
|
\item \textbf{Aufgabe 4d:} Entfernen Sie den Benutzer \textit{manfred} aus der
|
||
|
Gruppe \textit{wheel} ohne ihn dabei aus anderen Gruppen zu entfernen.
|
||
|
\item \textbf{Aufgabe 4e:} Setzen Sie das Kennwort des Benutzers auf
|
||
|
\textit{manni-der-busfahrer}.
|
||
|
\item \textbf{Aufgabe 4f:} Entfernen Sie den Benutzer \textit{manfred} und
|
||
|
löschen Sie ggfls. seine Primärgruppe, sofern niemand mehr Mitglied ist.
|
||
|
\end{itemize}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsection{Dateiberechtigungen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.dateiberechtigungen}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{DOS Ideologie}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.dateiberechtigungen.dos-ideologie}
|
||
|
|
||
|
Unter Windows sind Grundsätzlich alle Dateien, welche auf den Suffix
|
||
|
\textit{.exe} enden Ausführbar. Unix-artige Systeme interpretieren Dateiendungen
|
||
|
anders. Sie sind ausschließlich dafür da, damit Desktopmanager wie gnome,
|
||
|
cinnamon, kde, xfce oder andere erkennen, um welche Datei es sich hier handel
|
||
|
und mit welchen Programmen aus einer Liste diese geöffnet werden können.
|
||
|
|
||
|
Dies bedeutet, dass auch die PDF-Datei \texttt{Aufgabensammlung.pdf} ausführbar
|
||
|
sein kann, obwohl diese nur lesbar sein sollte, damit Programme wie evince oder
|
||
|
masterpdfeditor von ihr lesen können.
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Einfache Dateiberechtigungen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.dateiberechtigungen.einfach}
|
||
|
|
||
|
Unter Unix-artigen Systemen, welche die GNU Core Utilities verwenden, ist das
|
||
|
Programm \textit{ls} vorinstalliert. Das Programm dient zu Auflistung von
|
||
|
Dateien und Verzeichnissen.
|
||
|
|
||
|
Die Ausgabe ist eine Zusammenstellung von mehreren Einträgen unterschiedlicher
|
||
|
Auflistungen, um Dateiberechtigungen exemplarisch zu erklären.
|
||
|
|
||
|
\begin{verbatim}
|
||
|
drwxr-xr-x. 2 markus users 40 29. Sep 21:48 hello-world
|
||
|
-rw-r--r--. 1 christian users 0 29. Sep 21:48 hello-world2
|
||
|
srw-rw----. 1 root docker 0 5. Okt 19:34 docker.sock
|
||
|
lrwxrwxrwx. 1 markus markus 38 14. Apr 11:32 .g -> .gnupg
|
||
|
brw-rw----. 1 root disk 8 5. Okt 19:34 sda
|
||
|
crw--w----. 1 root tty 4 5. Okt 19:34 tty0
|
||
|
-rwx------. 1 demo users 0 5. Okt 20:01 mybin
|
||
|
\end{verbatim}
|
||
|
|
||
|
Die Attributzeichenkette besteht auch 10 Zeichen und gibt Auskunft über den Typ
|
||
|
als auch die Berechtigungen auf die Ressource.
|
||
|
|
||
|
Das erste Attribut gibt den Typ der Ressource wieder. Folgende Attribute
|
||
|
beschreiben die Ressource.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{-:} Ist eine normale Datei
|
||
|
\item \textbf{d:} \textbf{d}irectory
|
||
|
\item \textbf{s:} unix \textbf{s}ocket - Beispielsweise TCP socket eines Web Servers
|
||
|
\item \textbf{l:} symbolic \textbf{l}ink - Link auf eine andere Datei oder
|
||
|
anderes Verzeichnis
|
||
|
\item \textbf{b:} \textbf{b}lock device - Festplatten
|
||
|
\item \textbf{c:} \textbf{c}haracter device - Terminal
|
||
|
\end{itemize}
|
||
|
|
||
|
Die verbleibenden neun Attribute werden in drei Gruppen gesplittet. Jede Gruppe
|
||
|
beschreibt die Berechtigungen für den Besitzer (engl. user, kurz u), die Gruppe
|
||
|
(engl. group, kurz g) und alle anderen Benutzer, welche weder als Besitzer noch
|
||
|
Mitglied in der genannten Gruppe sind. Diese Benutzer werden auch als Andere
|
||
|
(engl. other, kurz o) beschrieben.
|
||
|
|
||
|
Dabei haben die Attribute folgende Bedeutung:
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{r:} \textbf{r}ead - Von Ressource lesen oder Verzeichnisinhalt
|
||
|
auflisten
|
||
|
\item \textbf{w:} \textbf{w}rite - Ressource beschreiben oder
|
||
|
Verzeichnisinhalt ändern (hinzufügen, umbenennen, löschen)
|
||
|
\item \textbf{x:} e\textbf{x}ecute - Programm ausführen oder in das
|
||
|
Verzeichnis hineinwechseln
|
||
|
\end{itemize}
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 5a}: Sind block devices in der obrigen Ausgabe gelistet,
|
||
|
wenn ja welche?
|
||
|
\item \textbf{Aufgabe 5b:} Nenne alle Dateien aus der obrigen Ausgabe.
|
||
|
\item \textbf{Aufgabe 5c:} Kann der Benutzer \textit{root} in das Verzeichnis
|
||
|
\textit{hello-word} hineinwechseln, wenn ja warum?
|
||
|
\item \textbf{Aufgabe 5d:} Welche Gruppe und was für Berechtigungen wurden der
|
||
|
Aufzählung \textit{hello-world2} zugewiesen?
|
||
|
\item \textbf{Aufgabe 5e:} Kann der Benutzer \textit{christian} das Programm
|
||
|
\textit{mybin} ausführen?
|
||
|
\item \textbf{Aufgabe 5f:} Kann der Benutzer \textit{demo} die Datei
|
||
|
\textit{helloworld2} lesen?
|
||
|
\item \textbf{Aufgabe 5g:} Wer kann mit welchen Berechtigungen mit dem
|
||
|
Unix-Socket \textit{docker.sock} kommunizieren?
|
||
|
\end{itemize}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Änderung der Dateiberechtigungen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.dateiberechtigungen.mod}
|
||
|
|
||
|
Die Berechtigungen auf Ressourcen als auch der Besitzer bzw. die Gruppe kann
|
||
|
geändert werden. Dazu sind in GNU Core Utilities folgende Programme enthalten.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textit{chown:} Ändert den Besitzer einer Ressource
|
||
|
\item \textit{chgrp:} Ändert die Gruppe einer Ressource
|
||
|
\item \textit{chmod:} Ändert die Berechtigung auf eine Ressource für alle
|
||
|
anderen Benutzer, welche weder als Besitzer noch Mitglieder der Gruppe sind
|
||
|
\end{itemize}
|
||
|
|
||
|
Das Ändern des Besitzers per \textit{chown} kann durch \textit{chown user
|
||
|
ressource} geändert werden. Gleiches gilt für das Ändern der Gruppe:
|
||
|
\textit{chgrp group ressource}. Möchte man den Besitzer als auch die Gruppe in
|
||
|
einem ändern kann dies durch \textit{chown} umgesetzt werden. Dabei muss der
|
||
|
Besitzer als auch die Gruppe getrennt durch einen Doppelpunkt angegeben werden:
|
||
|
\textit{chown user:group ressource}. Alternativ zu den Namen kann auch die
|
||
|
\textit{UID} bzw. für die Gruppe die \textit{GID} verwendet werden.
|
||
|
|
||
|
Die Dateiberechtigungen lassen sich per \textit{chmod} anpassen. Das Programm
|
||
|
\textit{chmod} unterstützt die Symbolische- als auch die Oktal-Notation, um
|
||
|
Berechtigungen für Ressourcen zu beschreiben.
|
||
|
|
||
|
Für die Oktal-Natation müssen die Oktal-Werte für jede Gruppe (Besitzer, Gruppe,
|
||
|
Andere) addiert werden, um die symbolische Notation nachbilden zu können. Bei
|
||
|
der Symbolischen-Notation können die Gruppen über die Buchstaben u für engl. user, g
|
||
|
für engl. group und o für engl. other referenziert werden.
|
||
|
|
||
|
\begin{table}[H]
|
||
|
\centering
|
||
|
\begin{tabularx}{\textwidth}{X|X|X}
|
||
|
\textbf{Berechtigung} & \textbf{Oktal-Wert} & \textbf{Symbolisches-Attribut} \\
|
||
|
\hline\hline
|
||
|
read & 4 & r \\
|
||
|
write & 2 & w \\
|
||
|
execute & 1 & x \\
|
||
|
\end{tabularx}
|
||
|
\end{table}
|
||
|
|
||
|
Hier zwei Beispiele, um die Berechtigungen aus der Aufzählung aus Kapitel
|
||
|
\ref{sec:benutzer-gruppen-und-berechtigungen.dateiberechtigungen.einfach}
|
||
|
anzupassen. Dabei führen die ersten beiden und letzen beiden Befehle, unabhängig
|
||
|
von der Notation, zu dem gleichen Ergebnis.
|
||
|
|
||
|
\begin{bashcode}
|
||
|
$ chmod 750 helloworld2
|
||
|
$ chmod u=+rwx,g=+rx-w,o=-rwx helloworld2
|
||
|
|
||
|
$ chmod 775 helloworld mybin
|
||
|
$ chmod u=+rwx,g=+rwx,o=+rx-w mybin
|
||
|
|
||
|
$ ls -la
|
||
|
drwxr-x--- 2 markus users 40 29. Sep 21:48 hello-world
|
||
|
-rwxrwxr-x 1 demo users 0 5. Okt 20:01 mybin
|
||
|
\end{bashcode}
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 6a:} Wie lautet der Befehl die Berechtigung zum lesen
|
||
|
des Verzeichnis \textit{helloworld2} für die Gruppe zu entfernen? Bitte gebe
|
||
|
die Symbolische- und Oktal-Notation an.
|
||
|
\item \textbf{Aufgabe 6b:} Wie lautet der Befehl der Datei mybin die
|
||
|
Berechtigung zum Ausführen für alle Gruppen (Besitzer, Gruppe und Andere) zu
|
||
|
entfernen? Symbolische- und Oktal-Notation erforderlich.
|
||
|
\item \textbf{Aufgabe 6c:} Wie lautet der Befehl anderen Benutzern, welche
|
||
|
nicht Besitzer oder Mitglied der Gruppe docker sind von dem Unix-Socket
|
||
|
\textit{docker.sock} zu lesen. Symbolische- und Oktal-Notation erforderlich.
|
||
|
\item \textbf{Aufgabe 6d:} Wie lautet der Befehl den Besitzer auf
|
||
|
\textit{root} und die Gruppe auf \textit{markus} für die Datei
|
||
|
\textit{helloworld} zu setzen? Einzeiler bitte.
|
||
|
\end{itemize}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Erweiterte Dateiberechtigungen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.dateiberechtigungen.erweitert}
|
||
|
|
||
|
Neben den einfachen Dateiberechtigungen unterstützen alle Unix-artige Systeme
|
||
|
die erweiterten Dateiberechtigungen. Diese werden \textit{setuid},
|
||
|
\textit{setgid} und \textit{sticky bit} genannt.
|
||
|
|
||
|
Sie lassen sich ebenfalls über die Symbolische- als auch die Oktal-Notation
|
||
|
setzen.
|
||
|
|
||
|
\begin{table}[H]
|
||
|
\centering
|
||
|
\begin{tabularx}{\textwidth}{X|X|X}
|
||
|
\textbf{Berechtigung} & \textbf{Oktal-Wert} & \textbf{Symbolisches-Attribut} \\
|
||
|
\hline\hline
|
||
|
setuid & 4 & s \\
|
||
|
setgid & 2 & s \\
|
||
|
sticky bit & 1 & t \\
|
||
|
\end{tabularx}
|
||
|
\end{table}
|
||
|
|
||
|
Die \textit{setuid} auf Dateien wird ignoriert, außer sie ist ausführbar. Ist
|
||
|
die Datei ausführbar wird diese mit den Berechtigungen des Besitzers ausgeführt.
|
||
|
Ein gutes Beispiel ist das Programm \textit{/bin/passwd}. Ohne die Option
|
||
|
\textit{setuid} wäre ein normaler Benutzer nicht in der Lage sein Kennwort zu
|
||
|
ändern, da das Programm die Dateien \textit{/etc/passwd} und
|
||
|
\textit{/etc/shadow} bearbeitet, welche dem Besitzer \textit{root} als auch der
|
||
|
Gruppe \textit{root} gehören.
|
||
|
|
||
|
Ist das \textit{setuid} auf eine Datei oder ein Verzeichnis gesetzt, wird das
|
||
|
Attribut \textit{x} durch ein \textit{s} unter den Berechtigungen des Besitzers
|
||
|
in der Attributzeichenkette ersetzt.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 7a:} Überprüfe, ob für das Programm \textit{/bin/passwd}
|
||
|
\textit{setuid} gesetzt ist.
|
||
|
\end{itemize}
|
||
|
|
||
|
Das setzen von \textit{setuid}, \textit{setgid} und \textit{sticky bit} wird per
|
||
|
\textit{chmod} erreicht. Es kann die Symbolische- als auch die Oktal-Notation
|
||
|
verwendet werden. Exemplarisch wird nachfolgend \textit{setuid} über die
|
||
|
Symbolische- als auch Oktal-Notation für die Datei hello-world.py gesetzt.
|
||
|
|
||
|
\begin{bashcode}
|
||
|
$ chmod 4755 hello-world-py
|
||
|
$ chmod u=+rws,g=+rx-w,o=+rx-w hello-world-py
|
||
|
\end{bashcode}
|
||
|
|
||
|
Die erweiterte Berechtigung \textit{setgid} verhält sich analog zu
|
||
|
\textit{setuid}, was Dateien betrifft. Es hat jedoch noch die Besonderheit, dass
|
||
|
wenn \textit{setgid} auf ein Verzeichnis gesetzt ist alle erstellten Dateien und
|
||
|
Verzeichnisse unterhalb des Verzeichnisses die Gruppe erben. Allerdings
|
||
|
\textbf{nicht} die Berechtigungen. Dies kann per \acrlongpl{acr:acl} realisiert
|
||
|
werden.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 7b:} Erstellen Sie das Verzeichnis \textit{/tmp/setgid}
|
||
|
und setzen Sie die Gruppe auf \textit{users}. Überprüfen Sie, ob
|
||
|
\textit{setgid} erfolgreich gesetzt wurde.
|
||
|
\item \textbf{Aufgabe 7c:} Erstellen Sie eine neue Datei als auch ein neues
|
||
|
Verzeichnis in \textit{/tmp/setgid}. Überprüfen Sie, ob die Gruppe
|
||
|
\textit{users} für die von ihnen erstellte Datei als auch Verzeichnis gesetzt
|
||
|
wurde.
|
||
|
\end{itemize}
|
||
|
|
||
|
Das \textit{sticky bit} wird auf Dateien ignoriert. Wird es allerdings auf ein
|
||
|
Verzeichnis gesetzt verhindert es, dass Benutzer Dateien und Verzeichnisse
|
||
|
löschen können für welche sie nicht als Besitzer hinterlegt sind.
|
||
|
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsubsection{Access-Control-List}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.dateiberechtigungen.acl}
|
||
|
|
||
|
Mit \acrfull{acr:acl} können Berechtigungen granularer vergeben werden. Sie
|
||
|
erweitern somit die Rechteverwaltung unter Linux und werden insbesondere dafür
|
||
|
verwendet, Berechtigungen für neu angelegte Dateien und Verzeichnisse innerhalb
|
||
|
eines Verzeichnisses zu vererben.
|
||
|
|
||
|
Unter Fedora muss das Paket \textit{acl} installiert sein, um die
|
||
|
Rechteverwaltung granularer einstellen zu können.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 8a:} Installieren Sie mit \textit{yum} das Paket
|
||
|
\textit{acl}, sofern dies nicht installiert ist.
|
||
|
\end{itemize}
|
||
|
|
||
|
Das Paket \textit{acl} enthält mehrere Programme, um \acrshortpl{acr:acl} auf
|
||
|
dem System verwalten zu können. Dies sind die wichtigsten:
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textit{setfacl:} Dient zum definieren von \acrshortpl{acr:acl} auf ein
|
||
|
Verzeichnis oder eine Datei
|
||
|
\item \textit{getfacl:} Liest definierte \acrshortpl{acr:acl} von einem
|
||
|
Verzeichnis oder einer Datei aus
|
||
|
\end{itemize}
|
||
|
|
||
|
Die Programme \textit{setfacl} und \textit{getfacl} folgen einer ähnlichen
|
||
|
Befehlsstruktur wie \textit{chmod}, \textit{chown} und \textit{chgrp}.
|
||
|
|
||
|
Hier ein Beispiel, um dem Benutzer \textit{christian} die Berechtigung
|
||
|
\textit{rwx} auf das Programm \textit{mybin} per \acrshort{acr:acl} einzuräumen.
|
||
|
|
||
|
\begin{bashcode}
|
||
|
$ setfacl -m "u:christian:rwx" mybin
|
||
|
\end{bashcode}
|
||
|
|
||
|
Ähnlich verhält sich das Programm, wenn man einer Gruppe oder Benutzern, welche
|
||
|
weder Besitzer noch Mitglieder einer Gruppe sind, Berechtigungen einräumen
|
||
|
möchte.
|
||
|
|
||
|
\begin{bashcode}
|
||
|
$ setfacl -m "g:christian:r-x" mybin
|
||
|
$ setfacl -m "o:r-x" mybin
|
||
|
\end{bashcode}
|
||
|
|
||
|
Führt man den Befehl \textit{ls -la} erneut aus, macht das \textit{+}-Zeichen
|
||
|
hinter der Attributzeichenkette auf die definierte \acrshort{acr:acl}
|
||
|
aufmerksam.
|
||
|
|
||
|
\begin{verbatim}
|
||
|
drwxr-xr-x. 2 markus users 40 29. Sep 21:48 hello-world
|
||
|
-rw-r--r--. 1 christian users 0 29. Sep 21:48 hello-world2
|
||
|
srw-rw----. 1 root docker 0 5. Okt 19:34 docker.sock
|
||
|
lrwxrwxrwx. 1 markus markus 38 14. Apr 11:32 .g -> .gnupg/
|
||
|
brw-rw----. 1 root disk 8 5. Okt 19:34 sda
|
||
|
crw--w----. 1 root tty 4 5. Okt 19:34 tty0
|
||
|
-rwx------+ 1 demo users 0 5. Okt 20:01 mybin
|
||
|
\end{verbatim}
|
||
|
|
||
|
Die definierte \acrshort{acr:acl} kann per \textit{getfacl} ausgelesen werden.
|
||
|
|
||
|
\begin{bashcode}
|
||
|
$ getfacl mybin
|
||
|
# file: mybin
|
||
|
# owner: demo
|
||
|
# group: users
|
||
|
user::rwx
|
||
|
user:christian:rwx
|
||
|
group::---
|
||
|
group:christian:r-x
|
||
|
mask::rwx
|
||
|
other::r-x
|
||
|
\end{bashcode}
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 8b:} Erstellen Sie folgende Verzeichnisstruktur:
|
||
|
\textit{/tmp/acl-test/share}
|
||
|
\item \textbf{Aufgabe 8c:} Stellen Sie sicher, dass ausschließlich der
|
||
|
Benutzer \textit{root} und die Gruppe \textit{root} über die klassichen
|
||
|
Dateiberechtigungen Zugriff auf das Verzeichnis \textit{/tmp/acl-test} erhalten.
|
||
|
\item \textbf{Aufgabe 8d:} Erstellen Sie einen neuen Benutzer mit dem Namen
|
||
|
\textit{fuacl} und räumen Sie diesem per \acrshort{acr:acl} Berechtigungen
|
||
|
ein, Dateien und Verzeichnisse aus dem Verzeichnis \textit{/tmp/acl-test} zu
|
||
|
lesen, ändern und deren Inhalt aufzulisten. Überprüfen Sie die Einstellung!
|
||
|
\item \textbf{Aufgabe 8e:} Entziehen Sie dem Benutzer \textit{fuacl} die
|
||
|
Berechtigung Dateien und Verzeichnisse aus dem Verzeichnis
|
||
|
\textit{/tmp/acl-test/shared} zu lesen und aufzulisten. Überprüfen Sie die
|
||
|
Einstellung!
|
||
|
\item \textbf{Aufgabe 8f:} Stellen Sie sicher, dass neu erstellte Dokumente in
|
||
|
\textit{/tmp/acl-test} immer der Gruppe \textit{root} gehören und die
|
||
|
Berechtigung \textit{rwx} für Verzeichnisse und \textit{rw-} für Dateien
|
||
|
gesetzt werden. \textit{Tipp: setfact --default}. Überprüfen Sie die
|
||
|
Berechtigung durch erstellen eines neuen Dokuments.
|
||
|
\item \textbf{Aufgabe 8g:} Entfernen Sie ausschließlich jene
|
||
|
\acrshort{acr:acl}, welche vererbt wird.
|
||
|
\item \textbf{Aufgabe 8h:} Entfernen Sie rekursive alle \acrshortpl{acr:acl}.
|
||
|
\end{itemize}
|
||
|
|
||
|
% #>------------------------------------------------------------------------<#
|
||
|
\subsection{Praxisaufgabe: Verzeichnisstruktur mit Dateiberechtigungen erstellen}%
|
||
|
\label{sec:benutzer-gruppen-und-berechtigungen.praxis-task}
|
||
|
|
||
|
Sie befinden sich in folgender Situation:
|
||
|
|
||
|
Das Unternehmen indem Sie arbeiten wechselt aus Kostengründen von Windows
|
||
|
Sharepoint zu Samba. Ihr Vorgesetzter hat Sie daher gebeten Vorbereitungen für
|
||
|
den Umstieg zu treffen. Darunter auch die notwendige Verzeichnisstruktur für die
|
||
|
Abteilungen als auch die Benutzer und Gruppen zu erstellen, sowie Berechtigungen
|
||
|
den Vorgaben entsprechend anzupassen.
|
||
|
|
||
|
Folgende Beziehungen führt das Unternehmen zwischen Mitarbeiter und Abteilungen.
|
||
|
|
||
|
\begin{table}[H]
|
||
|
\centering
|
||
|
\begin{tabularx}{\textwidth}{X|X}
|
||
|
\textbf{Mitarbeiter} & \textbf{Abteilungen} \\
|
||
|
\hline\hline
|
||
|
Hugo McKinnock & Entwicklung \\
|
||
|
Hans Rakinzky & Entwicklung, System Administration \\
|
||
|
Marie Haseloff & Personalabteilung, Buchhaltung \\
|
||
|
Sophie Becker & Personalabteilung \\
|
||
|
Axel Tuller & System Administration \\
|
||
|
Tobias Moretti & Entwicklung, Qualitätssicherung \\
|
||
|
Lisa Meerkamp & Sekretärin \\
|
||
|
Manfred Krupp & Vorstand \\
|
||
|
\end{tabularx}
|
||
|
\end{table}
|
||
|
|
||
|
Die Verzeichnisstruktur ist unter \textit{/srv/documents} zu erstellen. Dabei
|
||
|
besitzt jede Abteilung ihr eigenes Verzeichnis. Innerhalb ihres Verzeichnisses
|
||
|
erhalten fast alle Abteilungen das Verzeichnis \textit{public} und
|
||
|
\textit{private}. Die Abteilung Entwicklung und Qualitätssicherung haben kein
|
||
|
Verzeichnis \textit{private}, da ihre Dokumente allen Benutzern im Unternehmen
|
||
|
zugänglich sein sollen. Dagegen besitzen die Abteilungen Sekreteriat als auch
|
||
|
Vorstand kein Verzeichnis \textit{public}, sondern ausschließlich
|
||
|
\textit{private}.
|
||
|
|
||
|
In den Verzeichnissen \textit{private} können ausschließlich Mitglieder der
|
||
|
Abteilung lesen und schreiben. Neu erstellte Dokumente gehören der Abteilung und
|
||
|
dem Benutzer \textit{root}. Ähnlich ist dies für das Verzeichnis
|
||
|
\textit{public}. Alle Benutzer können die Dateien oder Verzeichnisse öffnen.
|
||
|
Allerdings können nur Mitglieder der Abteilung neue Dokumente erstellen und
|
||
|
bearbeiten.
|
||
|
|
||
|
Bitte geben Sie die nötigen Befehle an, mit denen Sie die nachfolgenden Aufgaben
|
||
|
lösen.
|
||
|
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 9a:} Erstellen Sie die Gruppen, beginnend mit der
|
||
|
\textit{GID} 2000.
|
||
|
\item \textbf{Aufgabe 9b:} Erstellen Sie die Benutzer, beginnend mit der
|
||
|
\textit{UID} 2000. Die Primärgruppe ist \textit{users}.
|
||
|
\item \textbf{Aufgabe 9c:} Verknüpfen Sie die Benutzer mit den Gruppen.
|
||
|
\item \textbf{Aufgabe 9d:} Erstellen Sie die beschriebene Verzeichnisstruktur.
|
||
|
\item \textbf{Aufgabe 9e:} Setzen Sie die beschriebenen Berechtigungen um.
|
||
|
\item \textbf{Aufgabe 9f:} Melden Sie sich unter dem Benutzer von Marie
|
||
|
Haseloff per \textit{sudo} an und überprüfen Sie folgende Berechtigungen:
|
||
|
\begin{itemize}[label={},itemsep=0pt]
|
||
|
\item \textbf{Aufgabe 9f$_1$:} Erstellen, bearbeiten und löschen von Dateien
|
||
|
und Verzeichnissen in der für Ihr, über die Abteilung, zugewiesenen
|
||
|
Verzeichnisse.
|
||
|
\item \textbf{Aufgabe 9f$_2$:} Neu erstellte Dokumente und Verzeichnisse
|
||
|
gehören der jeweiligen Abteilung. Verzeichnisse haben die
|
||
|
Gruppenberechtigung \textit{rwx}. Dateien haben die Gruppenberechtigung
|
||
|
\textit{rw-}.
|
||
|
\item \textbf{Aufgabe 9f$_3$:} Von Dateien und Verzeichnissen der Abteilung
|
||
|
Vorstand darf weder gelesen noch geschrieben als auch deren Inhalt gelistet
|
||
|
werden.
|
||
|
\item \textbf{Aufgabe 9f$_4$:} Dateien aus dem Verzeichnis \textit{public}
|
||
|
der Abteilung System Administration sind lesbar, aus dem Verzeichnis
|
||
|
\textit{private} nicht.
|
||
|
\end{itemize}
|
||
|
\end{itemize}
|