In Linux ist jede Datei und jedes Verzeichnis mit bestimmten Rechten und einem Besitzer versehen.
Diese Dateirechte legen fest, wer eine Datei lesen, verändern oder ausführen darf.
Dadurch wird sichergestellt, dass mehrere Benutzer sicher auf einem System arbeiten können, ohne unbeabsichtigt Daten anderer zu verändern oder zu löschen.
Neben den Rechten spielt auch der Dateibesitz eine wichtige Rolle: Jede Datei gehört einem Benutzer sowie einer Gruppe.
Die wichtigsten Rechte sind Lesen (r), Schreiben (w) und Ausführen (x). Sie können jeweils für drei Bereiche vergeben werden: den Besitzer, die Gruppe und alle anderen Benutzer.
Um Informationen über Rechte und Besitzer anzuzeigen, wird häufig der Befehl ls -l verwendet. Mit chmod lassen sich Rechte ändern, zum Beispiel Schreib- oder Ausführungsrechte hinzufügen oder entfernen. Der Befehl chown dient dazu, den Besitzer einer Datei zu ändern, während mit chgrp die zugehörige Gruppe angepasst werden kann.
-rwx rw- r-- 1 alice developers 1234 May 4 10:15 alice.txt
| | | | | |
| | | | | └─ Dateiname
| | | | └─ Gruppe
| | | └─ Besitzer
| | └─ Others (Rechte)
| └─ Gruppe (Rechte)
└─ Besitzer (Rechte)
Der Home-Ordner soll normalerweise ausschließlich dem Benutzer selbst gehören und nur von ihm nutzbar sein. Da Linux aber immer mit:
arbeitet, muss auch der Gruppenbesitz sinnvoll gesetzt werden.
Deshalb verwendet man üblicherweise die Primärgruppe des Benutzers — oft eine eigene Gruppe mit demselben Namen wie der Benutzer.
Beispiel:
drwxr-x--- alice alice /home/alice
Dadurch ist praktisch auch das „Gruppen-Tor“ geschlossen:
alice → voller Zugriffalice → enthält meist nur den Benutzer selbstDas ist sauberer und sicherer, als irgendeine gemeinsame Gruppe einzutragen.
Würde dort z. B. stehen:
drwxr-x--- alice users /home/alice
und mehrere Benutzer wären Mitglied der Gruppe users, könnten diese — abhängig von den Gruppenrechten — auf Inhalte zugreifen.
Darum verwenden moderne Linux-Systeme häufig das sogenannte „User Private Group“-Prinzip:
Dadurch bleibt das Gruppensystem konsistent, ohne unbeabsichtigt Zugriffe zu öffnen.