Open Source im professionellen Einsatz
Linux-Magazin 06/2015
493

Klebriges Zeug

Das eingangs erwähnte Kuriosum, dass ein User eine Datei löschen darf, auch wenn ihm die Datei selbst keine Schreibrechte gewährt, führt zu Problemen, falls sich mehrere User ein Verzeichnis teilen. Legen zum Beispiel die User A und B die Dateien »file-a« und »file-b« in »/tmp« ab, sollte es A verwehrt bleiben, »file-b« zu löschen. Doch wie soll das gehen, wenn nicht die Datei selbst, sondern das enthaltende Verzeichnis den Löschzugriff regelt?

Damit jeder User auf »/tmp« zugreifen darf, sind dessen Rechte auf »rwxrwxrwx« eingestellt. Dies eröffnet allerdings auch beliebigen Usern Löschrechte an allen dort eingestellten Dateien, und deshalb behalfen sich die Unix-Väter mit einem Trick: Sie erfanden ein spezielles Sticky-Bit, das

chmod +t /tmp

setzt und daran zu erkennen ist, dass das »ls« -Kommando die Verzeichnisrechte folgendermaßen anzeigt:

$ ls -ld /tmp
drwxrwxrwt 7 root root 4096 Apr 13 00:17 /tmp

Statt eines abschließenden »rwx« steht nun ein »rwt« in der Zugriffskennung, und Unix stellt deswegen die Zugriffsregeln in diesem Verzeichnis auf den Kopf. Auf einmal darf nun nicht mehr jeder beliebige User Einträge löschen, sondern nur noch der Eigentümer des jeweiligen Eintrags.

Genau deshalb setzt jedes Unix-System im Verzeichnis »/tmp« das Sticky-Bit. Es verhindert, dass User sich gegenseitig ihre temporären Dateien weglöschen. Schreib- und Leserechte am Verzeichnis sind nach wie vor für alle vorhanden.

Bonuspunkte

Bonuspunkte erhält der Kandidat beim Einstellungsgespräch übrigens, falls er erklären kann, wann Unix das Sticky-Bit eines Verzeichnisses mit »t« und wann mit »T« anzeigt. Mit dem abschließenden »t« in »rwt« verdeckt der Hack mit dem Sticky-Bit nämlich jenes Bit, das eigentlich Ausführungsrechte der Allgemeinheit am Verzeichnis anzeigt. Es lässt sich nicht mehr sagen, ob vor dem Setzen des Sticky-Bits »rw-« oder »rwx« eingestellt war. Deshalb zeigt Unix »rwt« an, falls »rwx« vorlag, und »rwT« , falls die Ausführungsrechte fehlen, also vorher »rw-« dort stand.

Wer auch noch weiß, dass nicht nur Verzeichnisse, sondern auch Dateien ein Sticky-Bit führen können, das aber etwas völlig anderes regelt, beweist, dass er die Vorbereitung ernst genommen und Kerrisks Standardwerk studiert hat. Der Kandidat erhält 100 Punkte und kommt sicher in die nächste Runde!

Online PLUS

Im Screencast demonstriert Michael Schilli das Beispiel: http://www.linux-magazin.de/Ausgaben/2015/06/plus

Infos

  1. Listings zu diesem Artikel: ftp://www.linux-magazin.de/pub/listings/magazin/2015/06/Perl
  2. Michael Kerrisk, "The Linux Programming Interface: A Linux and UNIX System Programming Handbook": No Starch Press, 2010

Der Autor

Michael Schilli arbeitet als Software-Engineer bei Yahoo in Sunnyvale, Kalifornien. In seiner seit 1997 erscheinenden Kolumne forscht er jeden Monat nach praktischen Anwendungen der Skriptsprache Perl. Unter mailto:mschilli@perlmeister.com beantwortet er gerne Fragen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Perlsnapshot: Feinheiten des Unix-Rechtemanagements

    Wer einen neuen IT-Job an Land ziehen möchte, sollte sich darauf einstellen, dass er im Einstellungsgespräch womöglich die beliebte Frage nach dem Sticky-Bit bei Unix-Betriebssystemen gestellt bekommt. Zumindest hier zahlt es sich aus, Bescheid zu wissen.

  • Kernel 3.6 soll Symlink-Angriffe erschweren

    Der kommende Kernel 3.6 beschränkt das Anlegen von harten und symbolischen Links und behebt damit eine ganze Klasse von Sicherheitslücken.

  • Wurzelbehandlung

    Fast jedes Skript oder Programm öffnet und bearbeitet Dateien. Dieser Workshop zeigt, wo die Gefahren lauern, und erklärt Admins und Entwicklern, wie sie Fehler schon an der Wurzel neutralisieren.

  • Security Audit

    Mit der freien Software Lynis lassen Admins ihre Zöglinge zur Sicherheitsinspektion antreten, um im Vorfeld potenzielle Sicherheitsmängel zu entdecken. Das Linux-Magazin schaut dem Inspektor auf die Finger und wirft auch einen Blick auf die kommerzielle Variante.

  • Recht und Ordnung

    Quotas, Rechte und Verknüpfungen sind elementare Komponenten beim Umgang mit Linux. Was die Kandidaten in der LPI-Prüfung 101 über diese Themen wissen müssen, vermittelt dieser Artikel.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.