Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

CompTia Linux+ LX0-103 (Teil 4) Geräte, Linux-Dateisysteme, Filesystem Hierarchy Standard

Zugangsmodelle wie suid, sgid und das Sticky Bit zur Wahrung der Sicherheit verwenden

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Um die Sicherheit Ihres Linux-Systems zu gewährleisten, stehen Ihnen verschiedene Spezialberechtigungen zur Verfügung. Was es mit solchen Berechtigungen auf sich hat und wie Sie sie definieren können, erfahren Sie in diesem Video.
08:40

Transkript

Wie die verschiedenen Spezialberechtigungen funktionieren, zeige ich Ihnen in diesem Video. Bisher wurden die ersten drei der 12 Bit, die die Zugriffe steuern, vernachlässigt. Diese repräsentieren das suid, das sgid und das Sticky Bit. Schauen wir uns das suid-Bit etwas genauer an. Auf eine ausführbare binäre Datei angewendet, bewirkt dieses Bit, dass ein Programm immer im Sicherheitskontexts des Besitzers dieses Programm ausgeführt wird. Zum Beispiel das Programm "passwd". Schauen wir uns die Berechtigungen von diesem Programm etwas genauer an. Ich navigiere dazu in das Verzeichnis "/user/bin/passwd" Wir sehen "root" und die Gruppe "root" haben entsprechende Berechtigungen. Mit diesem Programm kann ein Benutzer sein eigenes Passwort ändern. Dazu benötigt er theoretisch gesehen Schreibrechte auf die Datei "/etc/shadow". Tatsächlich kann aber nur der "root" schreibend auf diese Datei zugreifen. Da das Programm "passwd" über ein gesetztes SUID-Bit verfügt, gehört der resultierende Prozess bei der Ausführung des Programms, egal durch wen, dem Benutzer "root". Deshalb wird dem Prozess der Schreibzugriff gewährt und das Kennwort kann geändert werden. Sie erkennen ein gesetztes suid-Bit daran, dass bei den Symbolen für die Ausführungsberechtigungen einer Datei für deren Besitzer ein "s" gesetzt ist. Und das sehen wir sehr schön hier, ist dieses suid-Bit gesetzt. Da Programme, die mit einem suid-Bit bestückt sind, mit "root"-Rechten ausgeführt werden, stellen diese ein Sicherheitsrisiko dar. Es macht deshalb Sinn, ein Produktiv-System hin und wieder nach solchen Dateien zu durchsuchen. Am Besten setzen Sie dazu den Befehl "find" ein. Ich setze "find" ein, auf das Dateisystem, auf das "root"-Dateisystem mit der Option "-perm", steht für Permissions, und mit den Zusatzargumenten " -u+s". Ich erhalte nun eine Liste mit Programmen, bei welchen das suid-Bit gesetzt ist. Das nächste Bit, das wir uns anschauen, ist das setgid-Bit. Das setgid-Bit hat auf ausführbare Dateien einen ähnlichen Einfluss wie das suid-Bit. Der Prozess, der beim Ausführen einer Datei mit gesetztem setgid-Bit entsteht, gehört der Gruppe die auch die Eigentumsrechte an der Datei besitzt. Zunächst einmal möchte ich nicht mehr als "root" angemeldet sein. Ich verlasse diese Sitzung und ich bin wieder als normaler Benutzer "tom" angemeldet. Ich navigiere in den Ordner "sandbox" den ich erstellt habe, und in diesem Ordner erstelle ich einen neuen Ordner mit "mkdir", zum Beispiel "ordner200". Ich navigiere in den "ordner200" und erstelle eine neue Datei, zum Beispiel mit dem Namen "file1.txt", ist eine Beispieldatei, spielt keine Rolle. Also "touch file1.txt". Schauen wir uns die Berechtigungen von dieser Datei an, und wir sehen: "tom" hat die Berechtigung "read write" und die Gruppe "tom" hat die Berechtigung "lesen". Nun kommt das setgid-Bit zum Einsatz. Ich wechsle dazu wieder eine Stufe zurück. Also in den Ordner "sandbox". Nun setze ich mit "chmod" eine neue Berechtigung auf diesen "ordner200", mit 2777 auf den "ordner200". Da hat sich noch ein Fehler eingeschlichen. Ich muss das richtig schreiben; "ordner200": Nun habe ich diese Berechtigung gesetzt und melde ich mich wieder als "root" an, und navigiere wieder in diesen Ordner, und dann schauen wir uns an, was passiert. Ich wechsle also die Sitzung mit "su", möchte mich da mit "root"-Rechten anmelden, hinterlege das Passwort. Ich habe mich mit "root" angemeldet, und nun navigiere ich wieder in den "ordner200". Ich erstelle nun eine neue Datei, verwende dazu den Befehl "touch" und "file2.txt" und jetzt schauen wir uns die Berechtigungen an von dieser Datei. Ich verwende dazu "ls -l" auf die Datei "file2.txt". Nun haben Sie vielleicht den Unterschied bereits bemerkt. Diese Datei hat als Gruppe "tom" hinterlegt. Auf diesen Ordner wurde das setgid-Bit angewendet. Immer, wenn ein Dokument in diesem Ordner erstellt wird, wird die Gruppe von diesem Ordner angewendet, anstelle der Gruppe des Dokument-Erstellers. Wenn wir das vergleichen mit der Datei "file1.txt", dann sehen Sie, dass der Benutzer "tom" und die Gruppe "tom" hinterlegt wurde. Ich habe das setgid-Bit auf "ordner200" angewendet und als "root" eine Datei erstellt, es ist der Benutzer "root" hinterlegt worden, aber die Gruppe "tom" wurde entsprechend hier bestimmt. Sie sehen also, das ist der Unterschied, wenn Sie ein setgid-Bit einsetzen. Das nächste Bit, das sich Ihnen noch zeigen möchte, das ist das "Sticky Bit". Auch das Sticky Bit wird gerne für Arbeitsgruppen verwendet. Wenn Sie es auf ein Verzeichnis anwenden, kann nur noch der Besitzer einer Datei, der Besitzer des Verzeichnisses, oder der "root" eine Datei löschen beziehungsweise umbenennen, die sich in diesem Verzeichnis befindet. Schauen wir uns das "tmp"-Verzeichnis etwas genauer an. Ich verwende dazu "ls -lad /tmp" und Sie sehen, da ist eine Spezialberechtigung gesetzt. Wir sehen das kleine "t". Das kleine "t" zeigt an, dass auf diesem Ordner das Sticky Bit gesetzt wurde. Ich navigiere nun in diesen Ordner "cd /tmp". Ich bin nun in diesem Ordner und ich erstelle eine Datei, zum Beispiel mit "touch file3.txt". Schauen wir uns die Berechtigungen von dieser Datei jetzt an. "ls -l file3.txt" und Sie sehen, es ist "root" als Benutzer und die Gruppe "root" sind hinterlegt. Das zeigt also an, dass alle Rechte für "root" erstellt wurden. Wunderbar, ich verlasse die "root"-Sitzung und ich bin wieder als normaler Benutzer angemeldet. Ich navigiere ebenfalls in den Ordner "tmp" und ich erstelle eine neue Datei: "touch file4.txt" und jetzt schauen wir uns die Berechtigungen an von der Datei "file4.txt". "ls -l file4.txt" Haben Sie gesehen, ich habe nun für diese Datei die Berechtigungen. Es ist "tom" als Benutzer hinterlegt und es wurde die Gruppe "tom" ebenfalls hinterlegt. Das bedeutet also, dass ich in diesem Ordner die Dateien nur löschen kann, welche ich selber erstellt habe, oder "root" kann selbstverständlich auch alle anderen Dateien löschen. Sie haben also gesehen, was die Wirkung ist, wenn das Sticky Bit auf ein Verzeichnis angewendet wird. Auf Dateien angewendet, hat das Sticky Bit unter Linux keinen Einfluss. In diesem Video habe ich Ihnen erklärt, wozu das Sticky Bit, das sgid-Bit, und das suid-Bit verwendet wird.

CompTia Linux+ LX0-103 (Teil 4) Geräte, Linux-Dateisysteme, Filesystem Hierarchy Standard

Lernen Sie die Einrichtung und Wartung von Dateisystemen und die Verwaltung von Kontingenten und Dateirechten kennen und bereiten Sie sich auf die Comptia Linux+-Zertifizierungsprüfung LX0-103 vor.

2 Std. 8 min (27 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!