{"id":18512,"date":"2023-11-22T19:10:09","date_gmt":"2023-11-22T18:10:09","guid":{"rendered":"https:\/\/contabo.com\/blog\/?p=18512"},"modified":"2026-06-02T19:06:20","modified_gmt":"2026-06-02T17:06:20","slug":"basics-fuer-linux-berechtigungen","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/de\/basics-fuer-linux-berechtigungen\/","title":{"rendered":"Linux-Berechtigungen verstehen: Dateirechte anzeigen und \u00e4ndern\u00a0"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Die Administration eines Unix-basierten Betriebssystems erfordert tiefgehendes Fachwissen im Bereich der Systemsicherheit. Das Thema linux berechtigungen entscheidet ma\u00dfgeblich dar\u00fcber, wer eine bestimmte Datei im Dateisystem lesen, bearbeiten oder ausf\u00fchren darf. Wer einen virtuellen Server (VPS) oder eine dedizierte Umgebung verwaltet, ohne die zugrundeliegenden Linux-Dateiberechtigungen im Detail zu verstehen, gef\u00e4hrdet die Integrit\u00e4t des gesamten Systems. Die Folgen sind entweder zu weit ge\u00f6ffnete Linux-Zugriffsrechte, die Einfallstore f\u00fcr unbefugte Nutzer bieten, oder restriktive Konfigurationsfehler, die den produktiven Betrieb von Webservern, Datenbanken oder automatisierten Skripten komplett blockieren. <\/p>\n\n\n\n

Dieser umfassende Leitfaden erkl\u00e4rt detailliert, wie Linux-Rechte strukturiert sind, wie du sie mithilfe von Werkzeugen wie ls und stat pr\u00e4zise auswertest, wie du Modifikationen \u00fcber den chmod-Befehl vornimmst und wie du die Dateiverantwortlichkeit mit chown sowie chgrp sauber auf andere Systembenutzer \u00fcbertr\u00e4gst. <\/p>\n\n\n\n

Was sind Linux-Berechtigungen?<\/strong><\/h2>\n\n\n\n

Im Kern des Linux-Sicherheitsmodells steht das Prinzip der strikten Zugriffskontrolle. Grundlegende Berechtigungen in Linux legen unmissverst\u00e4ndlich fest, welche spezifischen Interaktionen auf Dateien und Verzeichnissen erlaubt sind \u2013 und f\u00fcr wen diese Regeln gelten. Jede Entit\u00e4t innerhalb des Dateisystems ist mit einer eindeutigen Kombination von Rechten verkn\u00fcpft. Wenn man sich detailliert mit linux berechtigungen besch\u00e4ftigt, sieht man, dass diese klassischen Unix-Berechtigungen und Unix-Dateirechte das Fundament jeder Linux-basierten Sicherheitsarchitektur bilden. Da Linux ein echtes Multi-User-Betriebssystem ist, sch\u00fctzt dieses Modell sensible Systemressourcen vor Fehlbedienung oder b\u00f6swilligen Zugriffen durch parallel laufende Prozesse oder angemeldete Personen. <\/p>\n\n\n\n

Benutzer, Gruppe und Andere<\/strong>\u00a0<\/h3>\n\n\n\n

Um eine granulare Steuerung zu erm\u00f6glichen, unterteilt Linux alle potenziellen Zugriffe auf eine Datei oder ein Verzeichnis in drei logische, voneinander unabh\u00e4ngige Kategorien: <\/p>\n\n\n\n

    \n
  1. Nutzer (u \/ User): <\/strong>Dies bezeichnet den expliziten Eigent\u00fcmer einer Datei. In der Regel ist dies der Benutzercode, welcher die Datei urspr\u00fcnglich im System angelegt hat. Der Eigent\u00fcmer besitzt und verwaltet damit die spezifischen linux berechtigungen der Datei.\u00a0<\/li>\n<\/ol>\n\n\n\n
      \n
    1. Gruppe (g \/ Group): <\/strong>Jede Datei ist einer spezifischen Systemgruppe zugeordnet. Alle Benutzer, die dieser Gruppe als Mitglieder hinzugef\u00fcgt wurden, teilen sich die dort definierten Zugriffsrechte. Dies ist besonders vorteilhaft, wenn Linux-Rechte f\u00fcr den Zugriff mehrere User gemeinsam verwaltet werden sollen, ohne dass man gezwungen ist, die Besitzverh\u00e4ltnisse der Datei permanent zu ver\u00e4ndern.\u00a0<\/li>\n<\/ol>\n\n\n\n
        \n
      1. Andere (o \/ Others): <\/strong>Diese Kategorie umfasst die Gesamtheit aller \u00fcbrigen Benutzer auf dem System, die weder der direkte Eigent\u00fcmer der Datei sind noch der zugeordneten Gruppe angeh\u00f6ren. Aus Sicherheitsgr\u00fcnden werden die Rechte f\u00fcr diese Kategorie im Serverbetrieb extrem restriktiv definiert.\u00a0<\/li>\n<\/ol>\n\n\n\n

        Wenn Systemadministratoren einem dedizierten Linux-Benutzer Rechte geben m\u00f6chten, ohne den prim\u00e4ren Eigent\u00fcmer einer Datei zu modifizieren, ist der Weg \u00fcber vordefinierte Gruppenberechtigungen die sauberste Methode. \u00dcber den Befehl usermod -aG gruppenname benutzername kannst du im Handumdrehen einem Linux-Benutzer Rechte geben, indem du ihn einer bestehenden administrativen oder funktionalen Gruppe zuweist. So lassen sich Linux-Rechte f\u00fcr den Zugriff mehrere User sicher koordinieren, ohne systemweite Sicherheitsrisiken zu erzeugen. <\/p>\n\n\n\n

        Lesen, Schreiben und Ausf\u00fchren<\/strong>\u00a0<\/h3>\n\n\n\n

        Innerhalb jeder der drei Zugriffskategorien (User, Group, Others) existieren drei grundlegende Berechtigungstypen. Diese werden im sogenannten rwx Linux-Modell abgebildet. Die Abk\u00fcrzung Linux rwx steht f\u00fcr die elementaren Operationen Read (Lesen), Write (Schreiben) und Execute (Ausf\u00fchren). <\/p>\n\n\n\n

          \n
        • Leserechte (r): <\/strong>Auf Dateiebene erlauben sie das Betrachten des eigentlichen Dateiinhalts (z. B. \u00fcber Werkzeuge wie cat, less oder Editoren). Bei Verzeichnissen steuern sie die F\u00e4higkeit, die darin enthaltenen Dateinamen und Unterordner aufzulisten.\u00a0<\/li>\n<\/ul>\n\n\n\n
            \n
          • Schreibrechte (w): <\/strong>Diese Berechtigung gestattet die Modifikation oder das L\u00f6schen des Inhalts einer Datei. Auf Verzeichnisebene erlaubt sie das Erstellen, Umbenennen oder vollst\u00e4ndige Entfernen von Dateien innerhalb dieses Ordners. M\u00f6chtest du im System Linux-Schreibrechte vergeben, musst du dieses Bit vorsichtig setzen, um das ungewollte \u00dcberschreiben kritischer Konfigurationen zu verhindern.\u00a0<\/li>\n<\/ul>\n\n\n\n
              \n
            • Ausf\u00fchrungsrechte (x): <\/strong>Bei einer regul\u00e4ren Datei markiert dieses Recht, dass es sich um ein ausf\u00fchrbares Programm, ein Bin\u00e4rdokument oder ein Shell-Skript handelt. Bei einem Verzeichnis besitzt das Ausf\u00fchrungsbit eine v\u00f6llig andere, essenzielle Bedeutung: Es erlaubt das physische Betreten des Ordners mittels des Befehls cd. Fehlt dieses Bit bei einem Verzeichnis, bleibt der Zugriff verwehrt, selbst wenn f\u00fcr den Nutzer Leserechte auf den Ordner definiert sind.\u00a0<\/li>\n<\/ul>\n\n\n\n

              Dateirechte vs. Ordnerrechte<\/strong>\u00a0<\/h3>\n\n\n\n

              Es ist eine h\u00e4ufige Stolperfalle f\u00fcr Einsteiger, dass sich Linux-Dateirechte und Linux-Ordner-Berechtigungen trotz identischer Symbolik (rwx) in ihrer praktischen Auswirkung stark unterscheiden. Die folgende Tabelle verdeutlicht diese systemisch wichtigen Unterschiede: <\/p>\n\n\n\n

              Berechtigung<\/strong> <\/td>Auswirkung auf eine Datei<\/strong> <\/td>Auswirkung auf ein Verzeichnis (Ordner)<\/strong> <\/td><\/tr>
              r (Read)<\/strong> <\/td>Inhalt der Datei kann gelesen werden. <\/td>Inhalt des Ordners kann aufgelistet werden (ls). <\/td><\/tr>
              w (Write)<\/strong> <\/td>Datei kann ver\u00e4ndert oder \u00fcberschrieben werden. <\/td>Dateien k\u00f6nnen im Ordner erstellt oder gel\u00f6scht werden. <\/td><\/tr>
              x (Execute)<\/strong> <\/td>Datei kann als Programm\/Skript gestartet werden. <\/td>Ordner kann betreten werden (cd \/pfad\/zu\/ordner). <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

              Ein klassischer Fehler im Systemalltag: Wenn ein Verzeichnis zwar \u00fcber Leserechte (r), jedoch nicht \u00fcber Ausf\u00fchrungsrechte (x) verf\u00fcgt, listet ein Aufruf von ls zwar die reinen Dateinamen innerhalb des Ordners auf, ein Zugriff auf die Dateiinhalte, Metadaten oder Unterverzeichnisse wird jedoch rigoros blockiert. Wenn du zur \u00dcberpr\u00fcfung im System Linux-Ordner-Berechtigungen anzeigen oder Linux-Ordner-Rechte anzeigen m\u00f6chtest, nutzt du dieselben grundlegenden Werkzeuge wie bei regul\u00e4ren Dateien. Das System kennzeichnet ein Verzeichnis in der Ausgabe schlicht durch ein vorangestelltes d (directory). <\/p>\n\n\n\n

              Linux-Dateiberechtigungen anzeigen<\/strong>\u00a0<\/h2>\n\n\n\n

              Bevor du administrative \u00c4nderungen vornimmst, musst du die aktuellen linux berechtigungen anzeigen lassen und analysieren. Linux stellt standardm\u00e4\u00dfig m\u00e4chtige CLI-Werkzeuge zur Verf\u00fcgung, um Linux-Rechte anzeigen und Linux-Zugriffsrechte anzeigen zu lassen. <\/p>\n\n\n\n

              Rechte mit ls -l auslesen<\/strong>\u00a0<\/h3>\n\n\n\n

              Der Befehl ls in Kombination mit dem Parameter -l (Long-Format) ist der unangefochtene Standard, um im Terminal Linux-User-Rechte anzeigen zu lassen. Setze den Befehl wie folgt ab: <\/p>\n\n\n\n

              <\/code><\/pre>\n\n\n\n
              Die Ausgabe liefert eine detaillierte Zeile, die wie folgt aufgebaut ist: <\/p>\n\n\n\n
              -rw-r--r--\u00a0 1 user1\u00a0 group1\u00a0 1234 May 31 15:00 datei.txt\u00a0<\/code><\/pre>\n\n\n\n
              Das erste Segment -rw-r–r– repr\u00e4sentiert den Dateityp sowie die exakten Berechtigungsbits. Das allererste Zeichen bestimmt den Typus der Datei: Ein – deklariert eine regul\u00e4re Datei, ein d kennzeichnet ein Verzeichnis und ein l verweist auf einen symbolischen Link (Symlink). Die darauffolgenden neun Zeichen gliedern sich in drei separate Dreiergruppen: Die ersten drei Zeichen gelten f\u00fcr den Eigent\u00fcmer (rw-), die mittleren drei f\u00fcr die Gruppe (r–) und die finalen drei f\u00fcr alle anderen Benutzer (r–). <\/p>\n\n\n\n
              Falls du im System versteckte Dateien einbeziehen und s\u00e4mtliche Linux-Dateirechte anzeigen oder Linux-Dateiberechtigungen anzeigen m\u00f6chtest, erweiterst du den Aufruf zu ls -la. <\/p>\n\n\n\n
              Details mit stat pr\u00fcfen<\/strong>\u00a0<\/h3>\n\n\n\n
              Falls die kompakte Ausgabe von ls unzureichend ist und du tiefgehendere Verzeichnisberechtigungen analysieren oder Linux-Dateiberechtigungen detailliert anzeigen musst, schl\u00e4gt die Stunde des Befehls stat. Dieses Tool erlaubt es dir, detailliert s\u00e4mtliche Berechtigungen auslesen zu k\u00f6nnen: <\/p>\n\n\n\n
              stat datei.txt\u00a0<\/code><\/pre>\n\n\n\n
              Der Output liefert pr\u00e4zise Systeminterna: <\/p>\n\n\n\n
              File: datei.txt\u00a0\n\n\u00a0 Size: 1234\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Blocks: 8\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 IO Block: 4096\u00a0\u00a0 regular file\u00a0\n\nDevice: 801h\/2049d Inode: 123456\u00a0\u00a0\u00a0\u00a0 Links: 1\u00a0\n\nAccess: (0644\/-rw-r--r--)\u00a0 Uid: ( 1000\/\u00a0\u00a0 user1)\u00a0\u00a0 Gid: ( 1000\/\u00a0 group1)\u00a0\n\nAccess: 2026-05-31 12:00:00.000000000 +0200\u00a0\n\nModify: 2026-05-31 15:00:00.000000000 +0200\u00a0\n\nChange: 2026-05-31 15:00:00.000000000 +0200<\/code><\/pre>\n\n\n\n
              Die Zeile Access: (0644\/-rw-r–r–) ist f\u00fcr Administratoren extrem wertvoll. Sie kombiniert das symbolische System mit der praktischen oktalen Schreibweise, wodurch sich komplexe Berechtigungen auslesen lassen. <\/p>\n\n\n\n
              Berechtigungszeichen richtig interpretieren<\/strong>\u00a0<\/h3>\n\n\n\n
              Die korrekte Interpretation der Zeichenketten erfordert Routine. Die Standard-Zeichenfolge -rw-r–r– bedeutet: Der Eigent\u00fcmer darf lesen und schreiben, die Gruppe und alle anderen Personen d\u00fcrfen die Datei ausschlie\u00dflich lesen. Ein weiteres, weit verbreitetes Muster im Serverumfeld ist die Kennzeichnung rw-rw-r–, bei welcher sowohl der Eigent\u00fcmer als auch die Gruppenmitglieder Schreibrechte besitzen. <\/p>\n\n\n\n
              F\u00fcr Verzeichnisse begegnen dir h\u00e4ufig Linux-Rechte wie drwxr-xr-x. Das bedeutet: Es handelt sich um ein Verzeichnis (d), der Besitzer besitzt uneingeschr\u00e4nkten Vollzugriff (rwx), w\u00e4hrend Gruppe und Andere den Ordner auflisten und betreten, aber keine Daten darin anlegen oder l\u00f6schen d\u00fcrfen (r-x). <\/p>\n\n\n\n
              Sollte dir anstelle des Ausf\u00fchrungsbits ein kleines s auffallen (z. B. linux rws), so signalisiert dies das aktive Vorhandensein eines Sonderbits (SetUID\/SetGID). Bei der manuellen Zuweisung von Verzeichnis-Standardmasken nutzt man oft den strukturellen Standard chmod drwxr-xr-x, um Ordnerstrukturen konsistent abzusichern. <\/p>\n\n\n\n
              Numerische und symbolische Notation<\/strong>\u00a0<\/h2>\n\n\n\n
              Um Berechtigungen im Linux-System zu modifizieren, existieren zwei grundlegende Notationsformen: Die oktale (numerische) Methode \u00fcber Zahlenwerte und die symbolische Methode via Buchstabensteuerungen. <\/p>\n\n\n\n
              Oktale Rechte: 644, 755 und 640<\/strong>\u00a0<\/h3>\n\n\n\n
              Die oktale Notation basiert auf einer einfachen mathematischen Addition von Bin\u00e4rwerten f\u00fcr jede der drei Zugriffsklassen. Jeder Berechtigungstyp besitzt einen permanent zugewiesenen Zahlenwert: <\/p>\n\n\n\n
              Lesen (r) = 4\u00a0\n\nSchreiben (w) = 2\u00a0\n\nAusf\u00fchren (x) = 1<\/code><\/pre>\n\n\n\n
              Durch die Addition dieser Werte pro Spalte ergibt sich eine dreistellige Oktalzahl, mit welcher sich \u00fcber den Befehl chmod pr\u00e4zise Linux-Berechtigungen setzen lassen. M\u00f6chtest du im System Linux-Rechte setzen, helfen dir folgende Standardwerte: <\/p>\n\n\n\n
                \n
              • chmod 640 (rw-r—–): <\/strong>Der Eigent\u00fcmer darf lesen und schreiben, die Gruppe darf lesen, die Au\u00dfenwelt hat keinerlei Zugriff. Dies sch\u00fctzt sensible Konfigurationsdateien oder Passw\u00f6rter.\u00a0<\/li>\n<\/ul>\n\n\n\n
                  \n
                • chmod 664 (rw-rw-r–): <\/strong>Erm\u00f6glicht dem Eigent\u00fcmer und der Gruppe das gleichberechtigte Editieren von Dokumenten, w\u00e4hrend Dritte die Datei nur betrachten d\u00fcrfen.\u00a0<\/li>\n<\/ul>\n\n\n\n
                    \n
                  • 644 (-rw-r–r–): <\/strong>Der absolute Standardwert f\u00fcr regul\u00e4re Webseiten-Dateien im Verzeichnis eines Webservers.\u00a0<\/li>\n<\/ul>\n\n\n\n
                      \n
                    • 755 (rwxr-xr-x): <\/strong>Verleiht dem Eigent\u00fcmer vollen Zugriff (4+2+1=7) und erlaubt Gruppe sowie Anderen das Lesen und Ausf\u00fchren. Dies ist der Standard f\u00fcr ausf\u00fchrbare Skripte und \u00f6ffentliche Ordnerstrukturen.\u00a0<\/li>\n<\/ul>\n\n\n\n
                      Symbolische Rechte mit u, g, o und a<\/strong>\u00a0<\/h3>\n\n\n\n
                      Die symbolische Notation nutzt Buchstaben, um Modifikationen an bestehenden Rechten vorzunehmen, ohne die restlichen Bitmasken komplett zu \u00fcberschreiben. Hierbei definiert u den User, g die Gruppe, o Andere und a (all) alle drei Kategorien gleichzeitig. Als Operatoren dienen + (Recht hinzuf\u00fcgen), – (Recht entfernen) und = (Recht exakt definieren). <\/p>\n\n\n\n
                      Der chmod Befehl setzt diese Anweisungen direkt um: <\/p>\n\n\n\n
                      chmod u+x skript.sh\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Eigent\u00fcmer bekommt Ausf\u00fchrungsrecht\u00a0\n\nchmod g-w datei.txt\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # Gruppe verliert Schreibrecht\u00a0\n\nchmod ug+w,o-rx datei.txt\u00a0\u00a0 # User+Gruppe: schreiben; Andere: lesen+betreten entfernt<\/code><\/pre>\n\n\n\n
                      Sonderbits: setuid, setgid und Sticky Bit<\/strong>\u00a0<\/h3>\n\n\n\n
                      Abseits der Standardberechtigungen kennt der Linux-Kernel drei hochentwickelte Sonderbits: <\/p>\n\n\n\n
                        \n
                      1. SetUID (4000): <\/strong>Bewirkt, dass eine ausf\u00fchrbare Datei mit den Privilegien des Dateieigent\u00fcmers (oft root) statt mit den Rechten des aufrufenden Benutzers ausgef\u00fchrt wird. Symbolisch sichtbar als kleines s im User-Block (z. B. linux rws).\u00a0<\/li>\n<\/ol>\n\n\n\n
                          \n
                        1. SetGID (2000): <\/strong>Auf Dateien angewendet verh\u00e4lt es sich wie SetUID f\u00fcr die Gruppe. Auf Verzeichnisse angewendet bewirkt es, dass jede neu erstellte Datei darin automatisch die Gruppe des \u00fcbergeordneten Ordners erbt \u2013 essenziell f\u00fcr Teamordner.\u00a0<\/li>\n<\/ol>\n\n\n\n
                            \n
                          1. Sticky Bit (1000): <\/strong>Wird prim\u00e4r auf tempor\u00e4re Verzeichnisse (wie \/tmp) angewendet. Es sorgt daf\u00fcr, dass Benutzer nur ihre eigenen Dateien l\u00f6schen oder umbenennen d\u00fcrfen, selbst wenn sie volle Schreibrechte auf das gesamte Verzeichnis besitzen.\u00a0<\/li>\n<\/ol>\n\n\n\n
                            Sonderbits werden bei oktalen Befehlen einfach als vierte, f\u00fchrende Ziffer vorangestellt (z. B. chmod 2755 \/ordner f\u00fcr ein aktives SetGID-Bit). <\/p>\n\n\n\n
                            Linux-Berechtigungen mit chmod \u00e4ndern<\/strong>\u00a0<\/h2>\n\n\n\n
                            Die gezielte Anpassung von Rechten geh\u00f6rt zu den t\u00e4glichen Aufgaben im Serverbetrieb. Um dauerhaft linux berechtigungen \u00e4ndern oder Linux-Rechte \u00e4ndern zu k\u00f6nnen, bildet der chmod-Befehl das universelle Fundament. <\/p>\n\n\n\n
                            Dateien mit chmod sicher \u00e4ndern<\/strong>\u00a0<\/h3>\n\n\n\n
                            Wenn du eine spezifische Linux-Dateirechte \u00e4ndern, die globale Linux-Datei-Rechte \u00e4ndern oder eine einzelne Linux-Berechtigung Datei \u00e4ndern m\u00f6chtest, reicht ein strukturierter CLI-Aufruf. Stelle vor jeder Modifikation sicher, dass du den aktuellen Zustand validiert hast. Ein fahrl\u00e4ssiges Vergeben von zu offenen Rechten wie 777 \u00f6ffnet T\u00fcr und Tor f\u00fcr Angriffe und sollte auf Produktivsystemen strikt vermieden werden. <\/p>\n\n\n\n
                            chmod 644 config.php\u00a0<\/code><\/pre>\n\n\n\n
                            Nutze im Zweifelsfall die symbolische Notation, um bestehende Rechteketten nicht unabsichtlich zu zerst\u00f6ren. <\/p>\n\n\n\n
                            Ordnerrechte mit chmod \u00e4ndern<\/strong>\u00a0<\/h3>\n\n\n\n
                            M\u00f6chtest du Linux-Ordner-Berechtigungen \u00e4ndern oder die Linux-Ordner-Rechte anzeigen und im Anschluss gezielt Linux-Ordner-Rechte \u00e4ndern, musst du stets das Ausf\u00fchrungsbit im Hinterkopf behalten. Nutze den Befehl chmod Ordner, um Verzeichnisse f\u00fcr Webdienste erreichbar zu machen: <\/p>\n\n\n\n
                            chmod 755 \/var\/www\/html\/assets\u00a0<\/code><\/pre>\n\n\n\n
                            Damit stellst du sicher, dass der Webserver den Ordner durchschreiten darf, um Bilder oder Skripte an den Browser auszuliefern. <\/p>\n\n\n\n
                            Rekursive \u00c4nderungen mit -R sicher einsetzen<\/strong>\u00a0<\/h3>\n\n\n\n
                            \u00dcber den Parameter -R wendet Linux den Befehl rekursiv auf alle Unterordner und darin enthaltenen Dateien an. Wenn du beispielsweise ein Linux-Verzeichnis kopieren mit Berechtigungen durchgef\u00fchrt hast (z. B. via cp -p oder rsync -a), m\u00fcssen die Rechte im Zielordner oft global korrigiert werden. Ein blindes chmod -R 755 macht jedoch f\u00e4lschlicherweise auch jede normale Textdatei ausf\u00fchrbar. <\/p>\n\n\n\n
                            Um sicher die Linux-Zugriffsrechte \u00e4ndern und eine Linux-Verzeichnis Rechte \u00e4ndern-Aktion durchf\u00fchren zu k\u00f6nnen, ohne Kollateralsch\u00e4den zu verursachen, empfiehlt sich die Kombination mit dem Werkzeug find: <\/p>\n\n\n\n
                            find \/var\/www\/projekt -type d -exec chmod 755 {} \\;\u00a0\n\nfind \/var\/www\/projekt -type f -exec chmod 644 {} \\;<\/code><\/pre>\n\n\n\n
                            Der obige Ablauf isoliert Ordner und Dateien voneinander. So l\u00e4sst sich eine Linux-Ordner-Berechtigung \u00e4ndern, w\u00e4hrend regul\u00e4re Dokumente sicher auf der restriktiven Maske 644 verbleiben. <\/p>\n\n\n\n
                            Besitz und Gruppen in Linux verstehen<\/strong>\u00a0<\/h2>\n\n\n\n
                            Die Berechtigungsbits verpuffen wirkungslos, wenn die Besitzverh\u00e4ltnisse einer Datei fehlerhaft konfiguriert sind. Das Zuordnen des korrekten Eigent\u00fcmers steuert, welche Berechtigungsebene (User, Group oder Others) beim Zugriff eines Prozesses getriggert wird. Den Linux-Eigent\u00fcmer \u00e4ndern zu k\u00f6nnen, ist daher f\u00fcr die Absicherung elementar. <\/p>\n\n\n\n
                            Dateibesitzer und Gruppe mit ls -l pr\u00fcfen<\/strong>\u00a0<\/h3>\n\n\n\n
                            Mithilfe von ls -l liest du in der dritten und vierten Spalte der Terminal-Ausgabe direkt ab, welcher Benutzer und welche Gruppe einer Datei zugeordnet sind. Stimmen diese Zuordnungen nach einer Daten\u00fcbertragung oder dem Entpacken eines Archivs nicht mehr, verweigern Dienste den Dienst. <\/p>\n\n\n\n
                            Eigent\u00fcmer mit chown \u00e4ndern<\/strong>\u00a0<\/h3>\n\n\n\n
                            Der chown Befehl (change owner) ist das prim\u00e4re Werkzeug, um den Linux-Besitzer \u00e4ndern zu k\u00f6nnen. Wenn du im System einen Linux-Datei-Eigent\u00fcmer \u00e4ndern oder den Linux-Datei-Besitzer \u00e4ndern musst, lautet die grundlegende Syntax: <\/p>\n\n\n\n
                            sudo chown webuser index.html\u00a0<\/code><\/pre>\n\n\n\n
                            Soll zeitgleich der Eigent\u00fcmer und die zugewiesene Systemgruppe modifiziert werden, trennst du beide Begriffe durch einen Doppelpunkt: <\/p>\n\n\n\n
                            sudo chown webuser:www-data index.html\u00a0\n\n# Rekursiv:\u00a0\n\nsudo chown -R webuser:www-data \/var\/www\/projekt<\/code><\/pre>\n\n\n\n
                            Gruppe mit chgrp \u00e4ndern<\/strong>\u00a0<\/h3>\n\n\n\n
                            Falls du den Eigent\u00fcmer unangetastet lassen und ausschlie\u00dflich die Gruppenverantwortlichkeit modifizieren m\u00f6chtest, fungiert der Befehl chgrp als dediziertes Tool f\u00fcr ein chown for group: <\/p>\n\n\n\n
                            sudo chgrp www-data backup.tar.gz\u00a0<\/code><\/pre>\n\n\n\n
                            Dies stellt sicher, dass du die Dateikontrolle beh\u00e4ltst, ein Hintergrunddienst (wie ein Backup-Daemon, der in der Gruppe www-data agiert) die Datei jedoch problemlos lesen oder beschreiben kann. <\/p>\n\n\n\n
                            Standardrechte und umask<\/strong>\u00a0<\/h2>\n\n\n\n
                            Beim Erstellen einer neuen Datei oder eines neuen Ordners vergibt das System die Rechte nicht willk\u00fcrlich. Der Linux-Kernel nutzt vordefinierte Maximalwerte: Regul\u00e4re Dateien starten theoretisch mit der Maske 666 (jeder darf lesen und schreiben, niemand ausf\u00fchren), Verzeichnisse mit 777 (Vollzugriff). <\/p>\n\n\n\n
                            Von diesem theoretischen Maximalwert wird die sogenannte umask (User Mask) abgezogen, um die realen initialen Rechte festzulegen. Den aktuellen Wert deiner Session erf\u00e4hrst du durch die Eingabe von umask im Terminal. <\/p>\n\n\n\n
                            Wie umask neue Dateien und Ordner beeinflusst<\/strong>\u00a0<\/h3>\n\n\n\n
                            Die umask subtrahiert Berechtigungsbits vom theoretischen Maximum. F\u00fcr Dateien (666) und Verzeichnisse (777) ergibt sich je nach umask-Wert eine unterschiedliche Startmaske. Dieser Mechanismus greift automatisch bei jeder Neuerstellung im System. <\/p>\n\n\n\n
                            Typische Werte wie 022 und 002<\/strong>\u00a0<\/h3>\n\n\n\n
                              \n
                            • umask 022: <\/strong>Dies ist der g\u00e4ngige Standard auf den meisten Linux-Servern. Er subtrahiert das Schreibrecht f\u00fcr die Gruppe und andere Benutzer. Das Resultat: Neue Dateien erhalten automatisch die Maske 644 (-rw-r–r–), neue Verzeichnisse erhalten 755.\u00a0<\/li>\n<\/ul>\n\n\n\n
                                \n
                              • umask 002: <\/strong>Dieser Wert bel\u00e4sst das Schreibrecht f\u00fcr die Gruppe. Neue Dateien werden mit 664 (rw-rw-r–) angelegt. Dies ist ideal in Entwicklungsumgebungen, in denen mehrere Teammitglieder in einem gemeinsamen Projektordner editieren m\u00fcssen.\u00a0<\/li>\n<\/ul>\n\n\n\n
                                  \n
                                • umask 027: <\/strong>Eine hochsichere Variante. Sie entzieht der Au\u00dfenwelt jegliche Rechte. Neue Dateien starten mit 640, Verzeichnisse mit 750.\u00a0<\/li>\n<\/ul>\n\n\n\n
                                  Erweiterte Rechte und h\u00e4ufige Stolperfallen<\/strong>\u00a0<\/h2>\n\n\n\n
                                  Im komplexen Enterprise-Umfeld sto\u00dfen die traditionellen dreistufigen Unix-Rechte (User, Group, Others) manchmal an ihre Grenzen. F\u00fcr diese Szenarien bietet Linux erweiterte Kontrollmechanismen. <\/p>\n\n\n\n
                                  POSIX ACLs mit getfacl und setfacl pr\u00fcfen<\/strong>\u00a0<\/h3>\n\n\n\n
                                  Access Control Lists (ACLs) erlauben es dir, einer Datei Rechte f\u00fcr mehrere dedizierte Benutzer oder mehrere separate Gruppen zuzuweisen, ohne neue Hauptgruppen im System anlegen zu m\u00fcssen. <\/p>\n\n\n\n
                                  # ACL f\u00fcr bestimmten Benutzer setzen\u00a0\n\nsetfacl -m u:gastuser:rw datei.txt\u00a0\n\n# ACLs anzeigen\u00a0\n\ngetfacl datei.txt<\/code><\/pre>\n\n\n\n
                                  Gekennzeichnet werden aktive ACLs in der normalen ls -l-Ausgabe durch ein kleines Pluszeichen (+) am Ende der Berechtigungszeichenkette. <\/p>\n\n\n\n