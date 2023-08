Jedes Linux ist ein System mit mehreren Benutzerkonten, auch wenn sich dort nur eine einzige Person anmeldet. Denn neben den tatsächlichen Benutzern gibt es auf jedem Linux-System reservierte Benutzerkonten für System- und Serverdienste wie beispielsweise Webserver. Dadurch sind auch diese Prozesse abgeschottet, damit falsche Konfigurationen oder Sicherheitslücken in einem Serverprozess keine Löcher ins System und auf Dateisystemebene reißen können.

Diese Systematik von Benutzerrechten ist nach einfachen Prinzipien gehalten: Uneingeschränkte Rechte hat lediglich das Konto root, das sowohl im Kernel- als auch im Userspace nach Belieben schalten und walten darf. Alles andere ist nach Besitz-, Gruppen- und Zugriffsrecht strukturiert.

Alle Linux-Dateisysteme bieten dazu die Berechtigungsbits für den Zugriff auf Dateien und Ordner. In vielen Fällen sind diese althergebrachten Unix-Prinzipien ausreichend, aber nicht überall: So sind beispielsweise beim Einsatz von Wechseldatenträgern oder für Freigaben zum Dateiaustausch oft flexiblere Möglichkeiten erwünscht.

Einzelne Benutzer statt Gruppen

Access Control List einer Datei anzeigen: Hier hat User „sepp“ erweiterte Rechte erhalten und darf die Datei wie der Besitzer lesen, beschreiben und ausführen. IDG

Die traditionellen Zugriffsrechte sind längst nicht mehr die einzige Möglichkeit, die Rechte unter Linux zu definieren. Von anderen Betriebssystemen wie Open VMS und Windows kam die Idee der Access Control List (ACL) zu Linux. ACLs lassen eine feinere Definition von Zugriffsrechten pro Benutzer zu, ohne dass diese Mitglieder in gemeinsamen Gruppen sein müssen.

Die Technik der Access Control Lists ist heute auf allen verbreiteten Linux-Distributionen Standard: Ext3, Ext4, XFS, BTRFS und F2FS bringen Unterstützung für ACLs mit. Auch wenn Linux-Distributionen weiterhin die traditionellen Unix-Rechte priorisieren, gewähren ACLs bei der Administration zusätzlichen Spielraum.

ACLs im Terminal: Eine Access Control List immer dann nützlich, wenn sich mehrere Benutzer oder Serverprozesse Dateien teilen sollen. Die ACLs ersparen es, dafür Gruppen anzulegen und die gewünschten Nutzerkonten dort einzeln aufzunehmen oder wieder herauszuwerfen.

Zur Definition einer ACL dienen die Terminalbefehle „setfacl“ und „getfacl“. Ersterer setzt oder ändert Zugriffsrechte von Dateien und Ordnern, während der zweite Befehl diese anzeigt.

Die Tools sind meist Standard und bei Bedarf über das Paket „acl“ zu installieren:

sudo apt install acl

Access Control List setzen: Mit dem ersten Befehl hat der User „sepp“ Vollzugriff auf die Datei erhalten. „ls -l“ zeigt nun bei dieser Datei ein zusätzliches Pluszeichen. IDG

Diese Aktion in Debian/Ubuntu gilt analog und mit gleichem Paketnamen auch für alle anderen Linux-Distributionen. Die Eingabe von

getfacl [Datei]

zeigt nun deren ACL-Rechte und ist üblicherweise leer. Mit „setfacl“ dürfen nur root oder der Besitzer eines Dateiobjekts hantieren und damit die ACL ändern. Beispielsweise erhält hier ein weiterer Benutzer „sepp“ den Vollzugriff auf eine Datei:

setfacl -m u:sepp:rwx [Datei]

Die Zeichenfolge „rwx“ steht hier Lesen, Schreiben und Ausführen. Auf diese Weise kann man mehrere Benutzer oder Gruppen hinzufügen oder – wie hier – auch wieder entfernen:

setfacl -x u:sepp [Datei]

Um die effektiven Berechtigungen im Blick zu behalten, ist immer ein Aufruf von „getfacl“ nötig. Der übliche List-Befehl „ls -l“ signalisiert alle Dateiobjekte mit aktiver ACL immerhin mit einem kleinen Pluszeichen („+“).

Eiciel: Ideal für den Desktop

ACLs mit Eiciel bearbeiten: Das grafische Tool kann unter Gnome über das Kontextmenü im Dateimanager Nautilus gestartet werden. IDG

Die Arbeit in der Kommandozeile mit „getfacl“ und „setfacl“ ist für Serversysteme und Fortgeschrittene durchaus ausreichend. Für den grafischen Desktop gibt es aber eine intuitivere Alternative:

Das Programm Eiciel wird schon seit der ersten Übernahme von ACLs in den Linux-Kernel gepflegt. Es ist ein Gnome-Programm, das einen Rechte-Dialog für das Dateisystem bereitstellt und sich sogar in den Dateimanager Nautilus integriert. Auf anderen Desktops fehlt zwar diese Integration, aber dort kann Eiciel als eigenständiges Programm arbeiten.

Eiciel ist inzwischen in nahezu allen Distributionen über die Standard-Paketquellen installierbar, in Debian/Ubuntu etwa so:

sudo apt install eiciel

Zu empfehlen ist dabei ein angehängtes „–no-install-recommends“ für alle Desktops außer Gnome, damit nicht der Dateimanager Nautilus als optionale Abhängigkeit mitinstalliert wird.

In Gnome gelingt der Aufruf von Eiciel am einfachsten mit einem Rechtsklick im Dateimanager auf Dateien oder Ordner. Bei anderen Desktops starten Sie das Tool über das Anwendungsmenü. In diesem Fall öffnet „Open“ rechts oben ein Dateisystemobjekt zur Bearbeitung.

Das Feld „Bisherige Teilnehmer in ACL“ listet tabellarisch und übersichtlich im Stil des Windows-Explorer die Benutzerkonten der ACL und deren einzelne Rechte auf.

Ein weiteres Benutzerkonto oder auch eine Gruppe integriert Eiciel mit der Option „Teilnehmer der ACL hinzufügen“ (unten). Damit wird das Konto in die obere Liste aufgenommen.

Soll ein Benutzerkonto keine Rechte mehr über die ACL haben, so entfernt die Schaltfläche „Teilnehmer aus ACL löschen“ einen oben markierten Benutzer oder eine Gruppe.

Eiciel ist hier eine echte Hilfe, die effektiven Berechtigungen klar zu erkennen. So können beispielsweise Besitzer von Dateien niemals aus der ACL-Liste entfernt werden.