Unix Filesystem Security ... für euren nächsten SAS-Server

Community_Help — Fri, 11 Apr 2014 01:45:51 GMT

Im Rahmen der Erstellung eines Berechtigungskonzepts für eine neue SAS-Infrastruktur habe ich gerade eine ultra-kompakte Einführung in die Unix Filesystem Security geschrieben; vielleicht kann der eine oder andere von euch ja davon profitieren:

Unix Filesystem Security

Durch die Filesystem Security wird festgelegt, wer eine Datei oder ein Verzeichnis lesen, schreiben oder ausführen darf. Diese Festlegung wird getroffen für:

- den Benutzer, der die Datei oder das Verzeichnis besitzt,
- die Gruppe, der der Eigentümer zugehört,
- alle anderen Benutzer, die nicht Besitzer oder Mitglieder seiner Gruppe sind.

Die Rechte werden gewöhnlich in Form einer Kombination von 9 der Zeichen 'r' (read), 'w' (write) und 'x' (execute) dargestellt, wobei die Zeichen 1-3 für die Rechte des Besitzer von Datei oder Verzeichnis, die Zeichen 4-6 für die Rechte seiner Gruppe und die Zeichen 7-9 für die Rechte aller anderen Benutzer stehen.

Beispiel:

"rwxrw-r--" steht für die Rechte "rwx" des Eigentümers, die Rechte "rw" seiner Gruppe und das Recht "r" aller anderen Benutzer.

In dieser Weise werden Zugriffsrechte beispielsweise auch durch das Shell-Kommando "ls -l" angezeigt:

XTRN538@bksase01:/home/XTRN538 # ls -l total 136 -rw-r--r--   1 XTRN538  sasentw     36977 Feb  1 14:39 XYZ.log -rw-rw-r--   1 XTRN538  sasentw      2101 Feb  1 14:31 XYZ.lst -rw-rw-rw-   1 XTRN538  sasentw       650 Oct  2 17:57 abcd.csv

Die jeweils 3 Zeichen für den Eigentümer, seine Gruppe und alle anderen Benutzer können auf Basis von Summen der Zweierpotenzen 2**0=1, 2**1=2, 2**2=4 zusammengefasst werden; dabei steht:

- 2**0 = 1 für "Execute (x)"
- 2**1 = 2 für "Write (w)"
- 2**2 = 4 für "Read (r)"

Beispiel:

"rwxrw-r--" läßt sich abkürzen durch [4+2+1][4+2][4] also "764".

User Mask (Umask)

Die Umask wird herangezogen, um die Rechte zu bestimmen, mit denen neue Dateien und Verzeichnisse angelegt werden; sie wird auf der Ebene des einzelnen Benutzer festgelegt.

Die Zugriffsrechte, mit denen eine Datei oder ein Verzeichnis angelegt werden, setzen sich zusammen, aus den Rechten, die er anlegende Benutzer bzw. das anlegende Programm vorgibt und der Umask.

Die Umask definiert dabei, welche eventuell vorgegebenen Rechte NICHT vergeben werden sollen.

Beispiel:

Vorgegebene Rechte von    "rw-rw-rw-" (0666) und eine Umask von        "----w--w-" (0022) führen zu den Rechten     "rw-r--r--" (0644) auf der angelegten Daten bzw. dem angelegten Verzeichnis.

(zur Umask vgl. http://en.wikipedia.org/wiki/Umask)

P.S. Demnächst geht's weiter mit ACLs (Access Control Lists) und File System Links.

Re: Unix Filesystem Security ... für euren nächsten SAS-Server

LainieH — Fri, 11 Apr 2014 01:48:58 GMT

Auch sehr nützlich ist das 'One Page LINUX Manual', welches hier zu finden ist:http://www.digilife.be/quickreferences/QRC/The%20One%20Page%20Linux%20Manual.pdf

Thema "Unix Filesystem Security ... für euren nächsten SAS-Server" in CoDe SAS German

Unix Filesystem Security ... für euren nächsten SAS-Server

Re: Unix Filesystem Security ... für euren nächsten SAS-Server