 |
Datei-Zugriffsschutz
Der Dateieintrag im Verzeichnis wird um einen Schutzeintrag erweitert, das die
Zugriffsrechte festlegt. Diese Rechte können je nach System feiner oder gröber gestaffelt sein. Am einfachsten ist die Vergabe von Lese- oder Schreibrecht für alle Benutzer. Die Zugriffsrechte selbst lassen sich weiter unterteilen und auch für verschiedene Benutzer unterschiedlich gestalten - bis hin zur Zuteilung dedizierter Rechte an einen oder mehrere bestimmten Benutzer.Einen Mittelweg beschreitet UNIX, das hier als einfaches Beispiel dienen soll. Für eine Datei gibt es unter UNIX drei Zugriffsarten: - R (read): Lesen aus der Datei
- W (write): Schreiben in die Datei (Ändern/Verkürzen/Erweitern)
- X (execute): Ausführen der Datei (bei Programmen)
Da es durchaus möglich sein sollte, anderen Benutzern das Lesen (nicht aber
das Schreiben) einer Datei zu gestatten; es u. U. auch Dateien mit wichtigen Informationen
gibt, die man vor eigenen Fehlern schützen will, gibt es drei Gruppen der
Zugriffsberechtigung:
- Zugriffsrechte für den Datei-Eigentümer
- Zugriffsrechte für die Arbeitsgruppe des Eigentümers
- Zugriffsrechte für alle anderen
Es ergeben sich also neun Zugriffsrechte:
Die im Bild links angegebenen weiteren drei Zugriffsrechte dienen besonderen Aufgaben.
Ein Benutzer kann durchaus mehreren Arbeitsgruppen angehören. Durch die Zuordnung
von Gerätedateien zu bestimmten Gruppen, kann man die Verwendung der Geräte
auf eine bestimmte Gruppe von Programmen beschränken. Beispiele:
Der Zugriff auf die Druckerschnittstellen wird nur einem User gewährt. In diesem
Fall stehen die Drucker nur den Druckerprozeß zur Verfügung und sind
für andere Prozesse gesperrt.
Die seriellen Schnittstellen, an denen Modems angeschlossen sind, werden der Gruppe "Modem"
zugeordnet. Um Benutzern den Zugriff auf die Modems zu gestatten, muß der
Systemverwalter nur diese Benutzer der Gruppe "Modem" zuordnen.
Bei einigen Betriebssystemen werden die Zugriffsrechte noch verfeinert, so läßt
sich beispielsweise die Schreiberlaubnis noch weiter unterteilen:
- beliebiges Schreiben auf die Datei
- Ändern von bestimmten Teilen der Datei
- Anhängen von Daten an die Datei
- Löschen der Datei
Rechte und Attribute auf Dateien im Vergleich
| Attribut/Recht |
Windows NT/2000 |
Unix |
Netware |
| Lesen |
R |
r |
R |
| Schreiben |
W |
w |
W |
| Löschen |
D |
w |
E |
| Ausführen |
X |
x |
X |
| Rechte setzen |
P |
w (Verzeichnis) |
A |
| Besitzer ändern |
O |
w (Verzeichnis) |
A |
| Attribute ändern |
W |
w (Verzeichnis) |
M |
| Super-Rechte |
|
root-User |
S |
Rechte und Attribute auf Verzeichnisse
| Attribut/Recht |
Windows NT/2000 |
Unix |
Netware |
| Schreiben |
W |
w |
W |
| Löschen |
D |
w |
E |
| Verzeichnis anzeigen |
X |
x |
F |
| Rechte setzen |
P |
w |
A |
| Besitzer ändern |
O |
w |
A |
| Attribute ändern |
W |
w |
M |
| Super-Rechte |
û |
root-User |
S |
| Dateien anlegen |
C |
w |
C |
Anmerkungen: Unter Windows NT/2000 können mit jeder Freigabe (Share)
allgemeine rechte für Benutzer und Gruppen eingestellt werden. Dies ist eine
Art von "Ersatz" für die fehlende Vererbung. Das "x" unter Unix kennzeichnet
ausführbare Dateien. Die Nameserweiterung ist bei UNIX vollkommen egal. Das
"X" unter Windows NT/2000 und Netware ist ein 'eXecute only'-Attribut. Unter Unix
gibt es noch die Attribute "l" für symbolischeLinks (Zeiger auf eine andere
Datei, 'Verknüpfung'), "s" beim Eingentümer für SUID (Ausführbare
Dateien behalten die User-ID des Dateieigentümers, denn normalerweise laufen
alle Programme unter der User-ID des Aufrufenden.) und "s" bei der Gruppe für
SGID (Bei Dateien wie SUID, jedoch gruppenbezogen, bei Verzeichnissen wird die
Gruppenzugehörigkeit neuer Dateien automatisch auf die des Verzeichnisses
gesetzt).
Die Dateifreigabe erfolgt mit den jeweiligen Kommandos des Betriebssystems. Bei UNIX
ist dies meist das Shell-Kommando 'chmod' (Change Modus), mit dem für Dateien,
Verzeichnisse oder ganze Verzeichnisbäume die Zugriffsrechte gesetzt werden
können. Die Zuordnung der Datenen und Verzeichnisse zu bestimmten Benutzern
und Gruppen erfolgt über die Kommandos 'chown' (Change Owner) und 'chgrp'
(Change Group), die aber nur vom Superuser 'root' verwendet werden können.
Bei Windows 95/98 können Sie Ordner und Drucker freigeben, indem Sie mit der
rechten Maustaste darauf klicken und Freigabe auswählen. Dabei ist es
möglich, nur Lese- oder Lese- und Schreibzugriff zu gestatten und dafür
jeweils Paßwörter einsetzen. Die Option Freigabe auf Benutzerebene kann
nur in Verbindung mit einem Windows NT- oder Windows 2000-Server verwendet werden.
Die Freigabe der Ordner und Drucker erfolgt ebenfalls durch unter 'Freigabe' im
jeweiligen Kontextmenü (rechte Maustaste). Bei NTFS-Laufwerken Windows NT/2000)
können Sie detaillierte Rechte für das Verzeichnis, alle Unterverzeichnisse
oder auch einzelne Dateien vergeben. Im Kontextmenü unter Sicherheit-Berechtigungen
legen Sie fest, welche Benutzer welche Aktionen ausführen dürfen. Sind Windows
95/98-Rechner im Netzwerk aktiv, dürfen Sie für die Freigabenamen nicht
mehr als zwölf Zeichen verwenden. Ansonsten erscheint die Freigabe auf diesen
Rechnern nicht. Windows NT/2000 versucht zunächst, Sie mit dem Benutzernamen und
Kennwort anzumelden, das Sie bei der Windows-Anmeldung verwendet haben. Ist damit
keine Anmeldung möglich, können Sie Kenn- und Paßwort neu eingeben.
Datei- und Druckerfreigaben sollten immer mit Paßwort geschützt werden.
Viele Betriebssysteme kennen weitere Einschrängungen, z. B.:
- Account Restrictions
Den Benutzern kann eine Reihe von Einschränkungen auferlegt werden, unter anderem
die Höchstanzahl gleichzeitiger Logins, eine Mindestlänge für
Paßwörter und eine Geltungsdauer für Paßwörter (z. B.:
UNIX, Novell).
- Time Restrictions
Der Login im Netz kann auf bestimmte Zeiten begrenzt werden, z. B. nur innerhalb
der normalen Arbeitszeit. Die Zeitbeschränkung kann sowohl auf Default- als
auch auf individueller Ebene angegeben werden (z.B.: Novell).
- Station Restrictions
Außer der Einschränkung der Anzahl sämtlicher Logins für die
einzelne Benutzer-ID ist es auch möglich, das Login auf eine bestimmte Rechner
beschränken. Die Station kann durch die MAC- oder IP-Adresse identifiziert werden.
|
|
|
DIENSTE
