Unix-Dateiberechtigungen Rechner (chmod)
Interaktiver chmod-Rechner. Aktiviere oder deaktiviere Berechtigungsbits für Eigentümer, Gruppe und Andere, und lies die Oktalzahl und symbolische Notation in Echtzeit ab. Oder gib eine Oktalzahl ein, um sie zu dekodieren.
| tools.unix-permissions-calculator.label.read | tools.unix-permissions-calculator.label.write | tools.unix-permissions-calculator.label.execute | Oct | |
|---|---|---|---|---|
| tools.unix-permissions-calculator.label.owner | 7 | |||
| tools.unix-permissions-calculator.label.group | 5 | |||
| tools.unix-permissions-calculator.label.other | 5 |
Häufige Voreinstellungen
chmod 755 filenameWie es funktioniert
Ursprung der Oktalnotation in Unix-Berechtigungen
Unix-Dateiberechtigungen wurden 1969 von Ken Thompson bei der Entwicklung des ursprünglichen Unix auf einem PDP-7 entworfen. Jede Datei speichert neun Berechtigungsbits im Inode: drei für den Eigentümer, drei für die Gruppe und drei für alle anderen. Jede Dreiergruppe von Bits als einzelne Oktalziffer (0–7) darzustellen war die natürliche Wahl: eine Ziffer pro Entität, drei Ziffern insgesamt. Diese Oktalkonvention wurde in POSIX.1-1988 standardisiert und ist in allen Linux-, macOS-, BSD- und Unix-ähnlichen Systemen unverändert geblieben.
Die symbolische Form (rwxr-xr-x) erschien ab den ersten Unix-Distributionen in der Ausgabe von `ls -l` und wurde zur lesbaren Ergänzung der Oktalzahl. POSIX definiert beide Darstellungen als normativ. `chmod u+x datei` verwendet die symbolische Form; `chmod 755 datei` die Oktalform. Beide führen zur gleichen Kernel-Operation: bestimmte Bits im Modus-Feld des Inodes setzen.
Bedeutung der einzelnen Berechtigungsbits
Für eine reguläre Datei: Lesen (r=4) erlaubt das Öffnen und Lesen des Inhalts; Schreiben (w=2) erlaubt das Ändern oder Kürzen der Datei; Ausführen (x=1) erlaubt das Starten als Programm. Jedes Bit ist unabhängig. Die Oktalziffer einer Entität ist die Summe der gesetzten Bits: rwx=7, r-x=5, r--=4.
Für ein Verzeichnis ändern sich die Bedeutungen. Lesen (r) erlaubt die Auflistung mit `ls`. Ausführen (x) — das 'Suchbit' — erlaubt den Wechsel mit `cd` und den Zugriff auf Dateien nach Name. Schreiben (w) erlaubt das Erstellen, Löschen oder Umbenennen von Dateien im Verzeichnis. Ein Verzeichnis mit Lesen aber ohne Ausführen ist fast nutzlos: Die Dateinamen sind sichtbar, aber keine Datei kann geöffnet werden. Typische Verzeichnisse haben die Berechtigung 755.
Häufige Berechtigungsmuster und Sicherheitsaspekte
644 (rw-r--r--) ist der Standard für Konfigurationsdateien, HTML und Text: Der Eigentümer kann bearbeiten, alle anderen nur lesen. 755 (rwxr-xr-x) ist der Standard für Verzeichnisse und ausführbare Skripte: Der Eigentümer verwaltet den Inhalt, andere können nur browsen und lesen. 600 (rw-------) und 700 (rwx------) beschränken den Zugriff vollständig auf den Eigentümer — geeignet für SSH-Schlüssel und Passwortdateien. Verwende niemals 777 für web-exponierte Dateien; Schreibzugriff für 'Andere' bedeutet, dass jeder Prozess auf dem System die Datei überschreiben kann.
Die umask bestimmt die Standardberechtigungen neuer Dateien und Verzeichnisse. Eine umask von 022 (auf den meisten Systemen üblich) ergibt 644 für neue Dateien und 755 für neue Verzeichnisse, da die umask-Bits vom Standardwert 666 (Dateien) und 777 (Verzeichnisse) subtrahiert werden. Sicherheitsgehärtete Systeme verwenden oft umask 027 oder 077.
Häufige Fragen
›Was bedeutet 755?
755 bedeutet: Eigentümer hat Lesen+Schreiben+Ausführen (7=4+2+1), Gruppe hat Lesen+Ausführen (5=4+1), Andere haben Lesen+Ausführen (5=4+1). Es ist die Standardberechtigung für Verzeichnisse und ausführbare Skripte.
›Was bedeutet 644?
644 bedeutet: Eigentümer hat Lesen+Schreiben (6=4+2), Gruppe hat nur Lesen (4), Andere haben nur Lesen (4). Es ist der Standardwert für reguläre Dateien wie Konfigurationen, Webseiten und Textdokumente.
›Warum benötigt ein Verzeichnis das Ausführ-Bit?
Bei Verzeichnissen ist das Ausführ-Bit das 'Suchbit'. Ohne es kann man weder mit cd in das Verzeichnis wechseln noch Dateien darin über Pfadnamen öffnen – selbst wenn das Lese-Bit gesetzt ist. Ein Verzeichnis mit Lesen aber ohne Ausführen ist in der Praxis kaum nutzbar.
›Was ist der Unterschied zwischen Eigentümer, Gruppe und Anderen?
Der Eigentümer ist das Benutzerkonto, dem die Datei gehört (festgelegt bei der Erstellung oder geändert mit chown). Die Gruppe ist die der Datei zugewiesene Gruppe (geändert mit chgrp); alle Benutzer in dieser Gruppe erhalten die Gruppenberechtigungen. Andere umfasst alle Benutzer des Systems, die weder Eigentümer noch Mitglied der Gruppe sind.
›Was sind SUID und SGID?
SUID (Set User ID) und SGID (Set Group ID) sind spezielle Berechtigungsbits über die neun Standard-Bits hinaus. Mit SUID auf einer ausführbaren Datei läuft diese mit den Rechten des Dateieigentümers statt des Aufrufers — verwendet von Befehlen wie passwd und sudo. SGID auf einem Verzeichnis lässt neue Dateien die Gruppe des Verzeichnisses erben. In der symbolischen Darstellung erscheint 's' (z. B. rwsr-xr-x), zum Oktalwert werden 4000 oder 2000 addiert (z. B. 4755).
›Ist chmod 777 gefährlich?
Ja, besonders auf einem gemeinsam genutzten System oder Webserver. 777 gewährt allen Benutzern des Systems vollständiges Lesen, Schreiben und Ausführen. Jeder Prozess — einschließlich kompromittierter Webanwendungen — kann die Datei überschreiben oder ausführen. Auf Webservern ermöglicht das oft beliebige Codeausführung. Beschränke Berechtigungen auf das notwendige Minimum.
›Wie verwende ich den chmod-Befehl?
Verwende `chmod OKTAL Pfad` für eine einzelne Datei, oder `chmod -R OKTAL Verzeichnis` für rekursive Anwendung. Beispiele: `chmod 644 index.html` oder `chmod 755 /var/www`. Du kannst auch symbolische Syntax verwenden: `chmod u+x script.sh` fügt dem Eigentümer das Ausführ-Bit hinzu ohne andere Bits zu ändern.
›Was ist umask und wie verhält es sich zu Berechtigungen?
umask ist eine Maske, die beim Erstellen neuer Dateien oder Verzeichnisse auf die Standardberechtigungen angewendet wird. Eine umask von 022 entfernt Schreibzugriff für Gruppe und Andere, sodass neue Dateien 644 und neue Verzeichnisse 755 erhalten. Gib `umask` in deiner Shell ein, um die aktuelle Einstellung zu sehen, und `umask WERT` zum Ändern für die aktuelle Sitzung.
Verwandte Tools
Zuletzt aktualisiert: