Die (Un-)Sicherheit mit chmod 777

Jeder, der selbst einen Webspace hat, sollte das Wort „chmod“ schon einmal gehört haben. Gemeint sind damit die Berechtigungseinstellungen von Ordnern und Dateien. Diese setzen sich meistens über die Zahlen 4, 5, 6 und 7 zusammen, so z. B. 777. Genauere Erklärungen gibt es zuhauf im Web, darauf werde ich nun nicht genauer eingehen.

Worauf ich aber eingehen werde, ist die Tatsache, dass man häufig böse Blicke oder Bemerkungen erhält, sofern man vielen Dateien und Ordnern chmod 777 geben soll, also volle Berechtigungen aller Benutzer.
Hier ist es für viele ganz eindeutig: Man lässt zu, dass wirklich jeder Benutzer, sprich wir, jede Datei und jeden Ordner beliebig ändern kann. Das ist aber eine grobe Fehleinschätzung von Benutzern, die den chmod nicht richtig verstanden haben. Ja, es ist durchaus so, dass jeder Benutzer dir Dateien und Ordner abändern kann, allerdings bezieht sich der chmod auf Systembenutzer, die im System selbst angelegt sind. Ein Benutzer, wie es häufig verstanden wird, also ein Internetnutzer, kann erst dann die Dateien ändern, wenn er Zugriff auf einen Systembenutzer hat. Ist es schon so weit gekommen, ist der chmod praktisch egal, da man dann den chmod umgehen kann.

Dass Sicherheitslücken durch den chmod 777 geöffnet werden, stimmt. So kann wirklich jeder Systembenutzer die Dateien beliebig bearbeiten. Angriffe werden jedoch zumeist so durchgeführt, dass der Einbrecher bereits mit dem Systembenutzer in das System eindringt, welchem die Dateien gehören. Damit wäre dann jeglicher anderer chmod egal.

Hat man z. B. für den Webserver und den FTP-Server den gleichen Systembenutzer, so kann man auch allen Dateien chmod 644 und allen Ordnern chmod 755 geben und alles würde funktionieren. Es kommt lediglich auf die Konfiguration der Systembenutzer an, nicht auf die Benutzer, die man auf dem Server auch als Besucher der Website z. B. betrachtet.

2 Kommentare zu “Die (Un-)Sicherheit mit chmod 777

  1. Das das hier Quark ist:
    „Angriffe werden jedoch zumeist so durchgeführt, dass der Einbrecher bereits mit dem Systembenutzer in das System eindringt, welchem die Dateien gehören. Damit wäre dann jeglicher anderer chmod egal.“
    sollte klar sein, oder?

    Speziell beim Shared Hosting sind Dateirechte wichtiger als sonst wo, und da ist es eine weitere Hürde, jemandem Zugriff auf meine Dateien zu geben.
    Klar, wenn er root ist… aber was, wenn er die Sachen im Kontext eines anderen Benutzers auslesen kann, weil die tolle vhost-Isolation nicht greift…?

    chmod/chown sind zwei Klassiker, deren grundlegende Funktionsweise allen Web-irgendwasmitentwicklungoderdesign klar sein sollte, und das man damit sehr viel Sicherheit aufgeben kann.

    1. Meine Aussage widerspricht dem nicht. Wie du selbst zitiert hast, sprach ich von meistens. Das klammert Ausnahmen wie die von dir konstruierte explizit aus. Und ja, dann ist das natürlich problematisch. Auch hier schrieb ich explizit, dass durch chmod 777 durchaus Sicherheitslücken geöffnet werden und auch, dass dann jeder Systembenutzer die Daten verändern kann.

      Daher verstehe ich deinen Punkt nicht, was du mit deinem Kommentar aussagen willst, was ich nicht bereits in meinem Artikel aufgegriffen habe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert