https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=SetuidSetuid - Versionsgeschichte2026-05-21T22:31:55ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Setuid&diff=303216&oldid=previmported>Aka: typografische Anführungszeichen2024-11-13T18:41:33Z<p>typografische Anführungszeichen</p>
<p><b>Neue Seite</b></p><div>'''Setuid''' ('''Set User ID''', manchmal auch '''suid''') ist ein erweitertes [[Unix-Dateirechte|Unix-Dateirecht]] für [[Datei]]en oder [[Verzeichnis]]se des [[Unix]]-[[Betriebssystem]]s.<br />
Ausführbare [[Computerprogramm|Programme]], bei denen dieses Bit gesetzt ist, werden zusätzlich zu den Rechten desjenigen [[Benutzer]]s, der die Datei ausführt, auch mit den Rechten des Benutzers ausgeführt, dem die Datei gehört (das heißt mit den Rechten des Besitzers der Datei, des „Owners“). Auf den meisten Systemen funktioniert dies nur für ausführbare Binärdateien, nicht jedoch für [[Shebang|interpretierte]] Scripts.<br />
<br />
Dieses Vorgehen ermöglicht unprivilegierten Benutzern und [[Prozess (Informatik)|Prozessen]] einen kontrollierten Zugriff auf privilegierte Ressourcen.<br />
<br />
Im Falle von [[FreeBSD]] bewirkt Setuid auf Verzeichnissen, dass darin angelegte Dateien dem Eigentümer des Verzeichnisses gehören und nicht demjenigen Benutzer, der sie anlegt.<br />
<br />
== Setzen des SUID-Bits ==<br />
[[Datei:Konqueror file permissions.png|miniatur|In einer grafischen Dateiverwaltung (hier Konqueror) kann das Bit mit einem Mausklick gesetzt werden. ]]<br />
Mit klassischen [[Unix-Kommando]]s wie <code>[[chmod]]</code> kann das Bit mit einem Aufruf wie<br />
:<code>chmod u+s ''datei''</code><br />
<br />
gesetzt werden, wobei ''datei'' für mindestens eine Datei bzw. Verzeichnis steht.<br />
<br />
Die Rechte zeigt ein <code>ls</code> dann z.&nbsp;B. folgendermaßen an:<br />
<br />
: <code>''-rwSrwxrwx user group datei''</code><br />
: Ein großes „S“ repräsentiert hierbei das reine SUID-Bit, ohne execute Bit. Ist auch das execute Bit gesetzt wird ein kleines „s“ angezeigt. Das execute Bit kann über<br />
: <code>chmod u+x ''datei''</code><br />
: gesetzt werden.<br />
<br />
Auch moderne grafische [[Dateimanager]] bieten Möglichkeiten, das Bit grafisch per [[Checkbox]] zu aktivieren/deaktivieren.<br />
<br />
== Vor- und Nachteile ==<br />
Vorteil dieses Vorgehens ist seine Einfachheit.<br />
Im [[Kernel (Betriebssystem)|Kernel]] muss nur wenig Funktionalität vorhanden sein, um eine große Bandbreite an Zugriffsteuerungen durch externe Programme zu implementieren.<br />
Es genügt in vielen Fällen, Funktionalität nach „privilegiert“ und „nicht privilegiert“ zu trennen, und die Zugriffsteuerung den ''setuid''-Programmen zu überlassen.<br />
Programme können des Weiteren in den Rechten beschnitten werden, wenn das Programm einem eingeschränkten Anwender zugeordnet wird.<br />
<br />
Klarer Nachteil ist, dass diese ''setuid''-Programme, die einem höher berechtigten Anwender wie [[Root-Konto|root]] gehören, aufgrund ihrer Privilegien ein [[Computersicherheit|Sicherheitsrisiko]] darstellen.<br />
Ein [[Programmfehler|Fehler]] in einem dieser Programme kann leicht das ganze System [[Technische Kompromittierung|kompromittieren]].<br />
Sie sind daher auch häufig das Ziel von lokalen Angriffen.<br />
Daher werden im Allgemeinen Mechanismen bevorzugt, die ohne ''setuid'' auskommen.<br />
<br />
== Klassische ''setuid''-Programme ==<br />
Unix-Programme, für die das ''setuid''-Bit zur korrekten Funktion gesetzt sein muss, sind zum Beispiel <code>[[su (Unix)|su]]</code> sowie <code>[[sudo]]</code>, welche mit den ihnen damit zur Verfügung stehenden Root-Rechten den zu startenden Prozess unter einer anderen Benutzerumgebung starten. Auch <code>[[Mounten|mount]]</code> und sein Pendant <code>[[Mounten|umount]]</code> benötigen üblicherweise Root-Rechte. Unter [[Linux]] wird aber auch normalen Benutzern das Ein- und Aushängen von Laufwerken erlaubt, die in der Datei <code>[[fstab|/etc/fstab]]</code> mit der Option ''user'' markiert sind.<br />
<br />
In allen diesen Fällen muss den Dienstprogrammen jeweils die Möglichkeit zur Verfügung stehen, Aktionen mit Root-Rechten auszuführen. Die Entscheidung, ob dies erlaubt sein soll oder nicht, muss allerdings einer privilegierten Instanz obliegen. Sie wird meist anhand von Konfigurationsdateien gefällt, die von normalen Benutzern nicht bearbeitet werden können.<br />
<br />
== Siehe auch ==<br />
* [[Unix-Dateirechte]]<br />
* [[Access Control List]]<br />
* Weitere erweiterte Dateirechte: [[Setgid]], [[Sticky Bit]]<br />
<br />
[[Kategorie:Dateiverwaltung]]<br />
[[Kategorie:Unix-Betriebssystemkomponente]]</div>imported>Aka