Der Zugriffsschutz für Dateien und Dateiverzeichnisse ist in POSIX durch folgende Schutzmechanismen realisiert:
Benutzerkennungen
Kennworte für Benutzerkennungen
Zusammenfassen von Benutzerkennungen zu Gruppen
Schutzbits für Dateien und Dateiverzeichnisse
Diese Schutzmechanismen verhindern, dass ein Benutzer die Dateien und Dateiverzeichnisse eines anderen Benutzers unberechtigt lesen und verändern kann.
Zugriffsschutz durch Benutzerkennung, Kennwort und Gruppennummer
Jeder, der POSIX benutzen will, benötigt am entsprechenden BS2000-Rechner eine Benutzerkennung, die der BS2000-Systemverwalter einrichten muss. Der Benutzer selbst kann ein Kennwort festlegen oder verändern, um seine Benutzerkennung vor unberechtigtem Zugriff zu schützen.
Siehe auch Abschnitt "Zugangsschutz bei Zugang über einen fernen Rechner".
Benutzer können zu Gruppen zusammengefasst werden. Dadurch können Dateien und Dateiverzeichnisse allen Mitgliedern dieser Gruppe zugänglich gemacht werden. Der Systemverwalter muss dazu jedem Benutzer eine Gruppennummer zuordnen. Benutzer mit der gleichen Gruppennummer gehören der gleichen Gruppe an (siehe Abschnitt "BS2000- und POSIX-Gruppen verwalten").
Zugriffsschutz durch Schutzbits
Jeder Datei und jedem Dateiverzeichnis werden beim Erstellen automatisch die Benutzer- und Gruppennummer des erstellenden Prozesses und Schutzbits zugewiesen. Diese Schutzbits sind für bestimmte Zugriffe standardmäßig vorbelegt.
Es gibt Schutzbits für die folgenden drei Benutzerklassen:
Eigentümer der Datei
Gruppe, der der Eigentümer angehört
Andere
Jede dieser Benutzerklassen besitzt je ein Schutzbit für Leseberechtigung (read), Schreibberechtigung (write) und Ausführberechtigung (execute).
Beispiel
Eigentümer: |
|
Gruppe: |
|
Andere: |
|
Die Schutzbits gelten ausschließlich für ihre Benutzerklasse. Wenn z.B. nur der Eigentümer eine Zugriffsberechtigung für eine Datei besitzt, darf weder die Benutzerklasse Gruppe noch die Benutzerklasse Andere mit dieser Datei arbeiten.
Die Zugriffsberechtigungen haben für Dateien und Dateiverzeichnisse unterschiedliche Bedeutung:
Zugriffsberechtigung | Datei | Dateiverzeichnis |
read | lesen | Einträge lesen |
write | schreiben | Einträge (Dateien) löschen/anlegen |
execute | ausführen | durchlaufen/durchsuchen |
Vor dem ersten Schutzbit für den Eigentümer steht noch ein Identifikationszeichen, das automatisch vergeben wird. Es hat folgende Bedeutung:
- | Datei |
b | blockorientiertes Gerät |
c | zeichenorientiertes Gerät |
d | Dateiverzeichnis |
| Symbolischer Verweis |
Die Schutzbits können mit dem POSIX-Kommando chmod geändert werden. Ein Benutzer mit der Benutzernummer 0 kann die Schutzbits von allen Dateien und Dateiverzeichnissen ändern, der Eigentümer nur von seinen eigenen Dateien und Dateiverzeichnissen. Auch wenn jemand aus der Benutzerklasse Gruppe oder Andere volle Zugriffsberechtigung auf eine Datei oder ein Dateiverzeichnis besitzt, kann er die Schutzbits nicht ändern.
Die Schutzbits für die Benutzerklasse Gruppe werden entsprechend der Gruppenzugehörigkeit des Eigentümers vergeben. Beim Anlegen einer neuen Datei wird die Gruppennummer und damit die Gruppenzugehörigkeit vom aktuellen Dateiverzeichnis übernommen.
Die aktuell gültige Schutzbit-Maske kann mit dem POSIX-Kommando umask ausgegeben oder geändert werden. Diese Schutzbit-Maske legt fest, welche Zugriffsrechte die Dateien und Dateiverzeichnisse erhalten, die Sie ab jetzt in der aktuellen Shell oder in einer ihrer Subshells neu anlegen.
Wenn Sie mit umask die Schutzbit-Maske ändern, gilt diese Änderung so lange, bis Sie entweder mit umask einen neuen Wert vereinbaren oder die Shell beenden, in der Sie umask aufgerufen haben.
POSIX-Verwalter können mit umask den Wert der Schutzbit-Maske in der Datei /etc/profile festlegen. Da die Datei /etc/profile von jeder Login-Shell ausgeführt wird, gelten die so bestimmten Zugriffsrechte für jeden am System angemeldeten Benutzer.
Nähere Informationen zu den POSIX-Kommandos chmod und umask finden Sie im Handbuch "POSIX Kommandos [1]".