https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=SetgidSetgid - Versionsgeschichte2026-05-26T14:31:02ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Setgid&diff=312385&oldid=previmported>Hausdorffraum: Grammatik korrigiert: "in dem" zu "indem" geändert.2018-08-16T16:37:09Z<p>Grammatik korrigiert: "in dem" zu "indem" geändert.</p>
<p><b>Neue Seite</b></p><div>'''Setgid''' ('''Set Group ID''', manchmal auch '''SGID''') ist ein (erweitertes) [[Unix-Dateirechte|Unix-Dateirecht]] für [[Datei]]en oder [[Verzeichnis]]se des [[Unix]]-[[Betriebssystem]]s.<br />
Ausführbare [[Computerprogramm|Programm]]e, bei denen dieses Bit gesetzt ist, werden neben den Rechten des ausführenden [[Benutzer|Benutzers]] zusätzlich mit den Rechten der Gruppe, welcher das Programm gehört, ausgeführt.<br />
<br />
Auf manchen Systemen bewirkt das Setgid-Bit bei einem Verzeichnis, dass darin neu angelegte Dateien oder Unterverzeichnisse der Gruppe angehören, der auch das Verzeichnis angehört (statt der Gruppe, zu der der erstellende Benutzer gehört).<br />
<br />
== Setzen des SGID-Bits ==<br />
[[Datei:Konqueror file permissions.png|thumb|Mit Dateimanagern kann das Bit per Klick gesetzt werden]]<br />
Mit klassischen [[Unix-Kommando]]s wie <code>[[chmod]]</code> kann das Bit mit einem Aufruf wie<br />
:<code>chmod g+s ''objekt''</code><br />
gesetzt werden, wobei ''objekt'' für mindestens eine Datei bzw. Verzeichnis steht.<br />
<br />
Auch moderne [[Dateimanager]] bieten Möglichkeiten, das Bit graphisch per [[Checkbox]] zu aktivieren/deaktivieren.<br />
<br />
== Notation/Anzeige des Bits ==<br />
In der [[Unix-Dateirechte#Oktalnotation|erweiterten Oktalnotation]], die sich vier [[Oktalsystem|Oktalziffern]] bedient, repräsentiert die Addition des Wertes 2 auf die erste Ziffer das gesetzte Setgid-Bit. Eine Datei mit den Rechten <code>0755</code> (in Oktalschreibweise) hat nach Setzen des Setgid-Bits die Rechte <code>2755</code>. Diese Darstellung ist offensichtlich unabhängig davon, ob die Datei für die Gruppe ausführbar ist.<br />
<br />
Die [[Unix-Dateirechte#Symbolische_Notation|symbolische Rechtenotation]] hingegen unterscheidet zwischen gesetztem SGID-Bit, indem an der Stelle, die die Gruppenausführbarkeit repräsentiert, statt <code>x</code> ein <code>s</code> und statt <code>-</code> ein <code>S</code> steht. So wird aus <code>rwxr-'''x'''r-x</code> nach Setzen des Setgid-Bits <code>rwxr-'''s'''r-x</code>, aus <code>rw-r-'''-'''r--</code> hingegen <code>rw-r-'''S'''r--</code>.<br />
<br />
== Wirkung des gesetzten Bits auf Verzeichnisse ==<br />
Da [[Verzeichnis]]se nicht im herkömmlichen Sinne ausgeführt (executed) werden können, hat das SGID-Bit hier eine besondere Bedeutung. Setzt man hier nämlich das SGID-Bit, werden die Gruppen in den Unterverzeichnissen vererbt.<br />
<br />
Das SGID-Bit stellt in dieser Konfiguration kein Sicherheitsrisiko dar, solange es nicht auf Dateien angewendet wird. <br />
<br />
== Beispiel ==<br />
Zunächst ohne SGID-Bit:<br />
<br />
# ls -l /data/fileshare<br />
drwxrwx--- admin abteilung1 1994-05-23 daten_abteilung1<br />
drwxrwx--- admin abteilung2 1994-05-23 daten_abteilung2<br />
drwxrwx--- admin abteilung3 1994-05-23 daten_abteilung3<br />
<br />
(Hinweis zur Bedeutung der Spalten von links nach rechts: Rechte, Besitzer, Gruppe, Datum, Name.)<br /><br />
Werden hier neue Dateien angelegt, wird die primäre Gruppe des gerade angemeldeten Benutzers als Gruppe für eine neue Datei gesetzt.<br />
<br />
# ls -l /data/fileshare/daten_abteilung1<br />
-rw-rw---- mueller abteilung1 1994-05-23 datei1.txt<br />
-rw-rw---- wieser abteilung1 1994-05-23 datei2.txt<br />
-rw-rw---- maier abteilung1 1994-05-23 datei3.png<br />
<br />
Ist Hr. Maier aber auch Mitglied von ''abteilung2'', können Dateien, die von Hr. Maier erstellt wurden, nicht mehr von den Kollegen aus ''abteilung2'' gelesen werden, da die primäre Gruppe auf ''abteilung1'' gesetzt bleibt.<br />
<br />
# ls -l /data/fileshare/daten_abteilung2<br />
-rw-rw---- maier '''abteilung1''' 1994-05-23 maiers_datei.txt<br />
-rw-rw---- berger abteilung2 1994-05-23 datei2.txt<br />
-rw-rw---- berger abteilung2 1994-05-23 datei3.txt<br />
<br />
Wenn man aber das SGID-Bit auf die übergeordneten Verzeichnisse setzt, wird die Gruppe vererbt. Dadurch ist es möglich, verschiedene Abteilungen zu verwalten, ohne auf komplexe [[Access Control List|ACLs]] angewiesen zu sein oder Berechtigungen für jedermann vergeben zu müssen.<br />
<br />
# find /data/fileshare/* -type d -exec chmod g+s {} \;<br />
(Dieses Kommando sucht nach allen Verzeichnissen und setzt das SGID-Bit)<br />
<br />
Wird jetzt eine Datei von Hr. Maier in ''abteilung2'' erstellt, kann diese jetzt auch von den anderen Mitgliedern der ''abteilung2'' bearbeitet werden:<br />
#maier$ touch /data/fileshare/daten_abteilung2/maiers_datei.txt<br />
<br />
# ls -l /data/fileshare<br />
drwxrw'''s'''--- admin abteilung1 1994-05-23 daten_abteilung1<br />
drwxrw'''s'''--- admin abteilung2 1994-05-23 daten_abteilung2<br />
drwxrw'''s'''--- admin abteilung3 1994-05-23 daten_abteilung3<br />
<br />
# ls -l /data/fileshare/daten_abteilung2 <br />
-rw-rw---- maier '''abteilung2''' 1994-05-23 maiers_datei.txt<br />
-rw-rw---- berger abteilung2 1994-05-23 datei2.txt<br />
-rw-rw---- berger abteilung2 1994-05-23 datei3.txt<br />
<br />
== Sicherheitsaspekt ==<br />
<br />
Obwohl in vielen Situationen sehr nützlich, kann das Setgid-Bit (ähnlich dem [[Setuid]]-Bit) ein hohes [[Computersicherheit|Sicherheit]]srisiko bedeuten, wenn bei Programmen Setgid gesetzt wird, die unsicher programmiert sind.<br />
<br />
== Siehe auch ==<br />
* [[Unix-Dateirechte]]<br />
* Weitere erweiterte Dateirechte: [[setuid]], [[Sticky Bit]]<br />
<br />
[[Kategorie:Dateiverwaltung]]<br />
<br />
[[en:setgid]]</div>imported>Hausdorffraum