tool::chmod-detail
chmod 640
rw-r-----
Nur-Gruppe-Lesbare Datei
Berechtigungsstruktur
Eigentümer (User)
✓Lesen (r)
✓Schreiben (w)
✗Ausführen (x)
Gruppe (Group)
✓Lesen (r)
✗Schreiben (w)
✗Ausführen (x)
Andere (Others)
✗Lesen (r)
✗Schreiben (w)
✗Ausführen (x)
Oktal
640Symbolisch
rw-r-----Erklärung
chmod 640 gewährt dem Eigentümer Lesen und Schreiben, der Gruppe nur Lesen und anderen keinerlei Rechte. Wird verwendet, wenn ein Dienstkonto eine Konfigurationsdatei lesen muss, aber nur der Administrator sie ändern darf. Ideal für sicherheitskritische Konfigurationsdateien, die ein Dienst verarbeiten muss.
Typische Anwendungsfälle
- ▸DB-Konfigurationsdateien, die vom Webserver gelesen werden
- ▸Umgebungskonfigurationsdateien für Dienstkonten
- ▸Zertifikatsdateien: von root geschrieben, von Dienstgruppe gelesen
- ▸Sicherheitskonfigurationsdateien in /etc/sudoers.d/
- ▸Anwendungsgeheimnis-Dateien (nur von der App-Gruppe lesbar)
Sicherheitshinweise
640 ist optimal dafür, dass ein Dienstkonto die Konfiguration lesen, aber nicht ändern kann. Die Anwendung von 640 auf .env- oder DB-Anmeldedaten-Dateien ermöglicht den normalen Betrieb des Dienstes und schützt gleichzeitig vor anderen Systembenutzern. Immer mit der richtigen Gruppeneignerschaft kombinieren.
Befehlsbeispiele
$ chmod 640 /etc/myapp/database.conf$ chown root:www-data /etc/myapp/database.conf$ chmod 640 /etc/ssl/private/app.key$ chmod 640 /etc/cron.d/backup-jobVerwandte Berechtigungen
ad · 300×250
// related tools