# Zugriffsrechte

> Dieser Artikel beschreibt die Zugriffsrechte auf Dateien von Linux - und somit auch Ubuntu. Die Zugriffsrechte regeln zum Beispiel, welcher Benutzer und welche Gruppe den Inhalt eines Verzeichnisses (ein Verzeichnis ist auch nur eine Datei) lesen darf. Neben dem Leserecht gibt es noch weitere Rechte, mit denen der Zugriff gesteuert werden kann.  
...  
Für komplexere Anwendungen bietet Linux seit einiger Zeit auch die Möglichkeit, den Zugriff über ACL (Access Control List) genauer festzulegen. Die ACL müssen explizit aktiviert werden. Ihre Erklärung würde hier zu weit führen; sie ist Gegenstand des Artikels ACL.

Aus https://wiki.ubuntuusers.de/Rechte/ Feb. 2018

__Lernziele__

-   Das Linux-Rechtekonzept beherrschen
-   Zugriffsrechte für Dateien und Verzeichnisse vergeben können
-   Die Begriffe _SUID_, _SGID_ und _sticky bit_ kennen

__Vorkenntnisse__

-   Kenntnisse über das Linux-Benutzer- und Gruppenkonzept
-   Kenntnisse über das Linux-Dateikonzept

## Zugriffsrechte anschauen und ändern

-   Dabei können Sie die drei Kategorien durch die Abkürzungen 
    - `u` (user) für den _Eigentümer_,
    - `g` (group) für die _Mitglieder der Dateigruppe_ und
    - `o` (others) für den _Rest der Welt_ bestimmen.
-   Die Rechte selbst werden durch die Kürzel `r`, `w` und `x` festgelegt.
-   Mit `+`, `-` und `=` können Sie verfügen, ob die benannten Rechte respektive zusätzlich zu den existierenden vergeben, von den existierenden "subtrahiert" oder anstelle der bisherigen gesetzt werden sollen.

- `chmod u+x datei`  
   setzen Ausführungsrecht für Eigentümer
- `chmod go+w datei`  
   setzt Schreibrecht für Gruppe und Andere
- `chmod g+rw datei`  
   setzt Lese- und Schreibrecht für die Gruppe
- `chmod g=rw,o=r datei`  
   setzt Lese- und Schreibrecht, löscht Ausführungsrecht für die Gruppe setzt reines Leserecht für den Rest der Welt
-   `chmod a+w datei`  
   äquivalent zu ugo+w

- Der Dateieigentümer ist (neben `root`) der einzige Benutzer, der die Zugriffsrechte für eine Datei oder ein Verzeichnis ändern darf.
- Dieses Privileg ist unabhängig von den tatsächlichen Dateirechten wie lesen bzw. schreiben!
- Die allgemeine Syntax des chmod Kommandos ist chmod \[⟨Optionen⟩\] ⟨Rechte⟩ ⟨Name⟩ ...

Sie können den Zugriffsmodus einer Datei statt wie eben angegeben "symbolisch" auch "numerisch" angeben. 

Die drei Rechtetripel werden als dreistellige Oktalzahl dargestellt.

* Erste Tripple die Rechte des Eigentümers.
* Zweite Tripple die Rechte der Dateigruppe und
* dritte Tripple die Rechte für den "Rest der Welt".

Die Ziffer ergibt sich aus der Summe:

- Leserecht 4,
- Schreibrecht 2 und
- Ausführrecht 1.

__Beispiele__

```
rw-r—r-- 644

r-------- 400

rwxr-xr-x 755
```

Mit der numerischen Rechtedarstellung können Rechte nur auf einmal gesetzt werden.

Es git keine Möglichkeit, mit "+"- und "-" einzelne Rechte zu setzen oder zu entfernen.

Das Kommando `chmod 644 datei` entspricht also der symbolischen Form `chmod u=rw,go=r datei`

## Zugriffsrechte auf Dateien und Verzeichnisse

Für Dateien bedeuten diese Rechte in etwa das, was ihre Namen aussagen;

Schreiben, lesen und ausführen.

-   Zum Starten eines binären „Maschinenprogramms“ ist nur
    Ausführungsrecht nötig.
-   Für Dateien mit Shellskripten oder anderen „interpretierten“
    Programmen brauchen Sie **außerdem Leserecht.**

Bei Verzeichnissen sieht es etwas anders aus:

- Leserecht ist notwendig, um den Inhalt eines Verzeichnisses **anschauen** zu können – (ls -Kommando)
- Schreibrecht brauchen Sie, um **Dateien** im Verzeichnis **anlegen**, **löschen** oder **umbenennen** zu können.
- Das „Ausführungsrecht“ steht für die Möglichkeit, das **Verzeichnis „benutzen“** zu dürfen, in dem Sinne, dass Sie mit cd hineinwechseln oder seinen Namen in Pfadnamen von weiter unten im Dateibaum liegenden Dateien benutzen dürfen.

- In Verzeichnissen, wo Sie **nur** das Leserecht haben, können Sie die Dateinamen lesen, aber nichts anderes über die Dateien herausfinden. 

- Haben Sie für ein Verzeichnis **nur** „Ausführungsrecht“, dann können Sie Dateien ansprechen, solange Sie wissen, wie sie heißen.

- **Wichtig:** Schreibrecht auf eine Datei ist für das Löschen der Datei völlig unnötig Sie brauchen Schreibrecht auf das Verzeichnis, in dem die Datei steht, und sonst nichts!
- Das rm-Programm warnt Sie zwar, wenn Sie versuchen, eine Datei zu löschen, auf die Sie kein Schreibrecht haben, aber wenn Sie die Operation bestätigen und Schreibrecht auf das Verzeichnis der Datei haben, steht dem erfolgreichen Löschen nichts im Weg.

- Wenn Sie dagegen Schreibrecht auf die Datei, aber nicht auf ihr  Verzeichnis haben, können Sie die Datei nicht komplett löschen. Sie können aber natürlich die Länge der Datei auf 0 setzen und damit den Inhalt entfernen, auch wenn die Datei selbst prinzipiell noch existiert.

- Für jeden Benutzer gelten diejenigen Zugriffsrechte, die „am besten passen“. Haben zum Beispiel die Mitglieder der Gruppe, der eine Datei zugeordnet ist, kein Leserecht für die Datei, der „Rest der Welt“ dagegen schon, dann dürfen die Gruppenmitglieder nicht lesen! :-o

- Informationen darüber, welche Rechte, Benutzer- und Gruppenzuordnung für eine Datei gelten, bekommen Sie mit:

```bash
ls -l
```
-   Als **Dateieigentümer** können Sie mit dem Befehl chmod (von change mode) die Zugriffsrechte für die Datei setzen.


## Dateieigentümer und Gruppe setzen

-   Das Kommando `chown` erlaubt das Setzen des Datei- oder Verzeichniseigentümers und der Gruppe.
-   _chown ⟨Benutzername⟩\[:\]\[⟨Gruppenname⟩\] ⟨Name⟩ ..._
-   _chown :⟨Gruppenname⟩ ⟨Name⟩ ..._
-   `chown hugo:entw brief.txt`
-   `chown www-data bla.html`  
    Neuer Eigentümer www-data
-   `chown :entw /home/entwicklung`  
    Neue Gruppe entw

Um Dateien an andere Benutzer oder beliebige Gruppen zu „verschenken“, müssen Sie Systemverwalter sein.

Mit dem Kommando `chgrp` können Sie die Gruppe einer Datei ändern:
- solange Sie Eigentümer der Datei sowie
- Mitglied der neuen Gruppe sind.

_chgrp ⟨Gruppenname⟩ ⟨Name⟩ ..._

- Änderungen des Dateieigentümers oder der Dateigruppe ändern die Zugriffsrechte für die verschiedenen Kategorien nicht.
- Auch chown und chgrp unterstützen die Option -R zur rekursiven Anwendung auf eine ganze Verzeichnishierarchie.

## Übung

Legen Sie eine neue Datei an.

- Welcher Gruppe ist diese Datei zugeordnet?
- Verwenden Sie `chgrp`, um die Datei einer Ihrer anderen Gruppen zuzuordnen.
- Was passiert, wenn Sie die Datei einer Gruppe zuordnen wollen, in der Sie nicht Mitglied sind?

__Notizen:__

Eine neue Datei bekommt die Gruppe, die gerade Ihre primäre Gruppe ist.
Sie können eine Datei keiner Gruppe zuordnen, in der Sie nicht selber Mitglied sind – es sei denn, Sie sind root.

## Eigentum an Prozessen

- Auch die Prozesse im System haben einen Eigentümer.
- Dies ist in der Regel der Benutzer, der den Prozess gestartet hat – auch hier haben Prozesse, die mit Administratorrechten gestartet wurden, die Möglichkeit, ihre Identität zu ändern, und der SUID-Mechanismus kann hier ebenfalls eingreifen.

In [11]:
whatis ps

ps (1)               - report a snapshot of the current processes.


In [4]:
ps -u vagrant

  PID TTY          TIME CMD
 1065 ?        00:00:27 jupyter-noteboo
 1917 ?        00:00:00 systemd
 1923 ?        00:00:00 (sd-pam)
 2252 ?        00:00:00 upstart
 2720 ?        00:00:00 upstart-udev-br
 2764 ?        00:00:00 dbus-daemon
 2798 ?        00:00:00 upstart-dbus-br
 2799 ?        00:00:00 upstart-file-br
 2802 ?        00:00:03 upstart-dbus-br
 2811 ?        00:00:00 gnome-keyring-d
 2829 ?        00:00:00 ibus-daemon
 2850 ?        00:00:00 gvfsd
 2864 ?        00:00:00 ibus-dconf
 2865 ?        00:00:00 ibus-ui-gtk3
 2869 ?        00:00:00 ibus-x11
 2974 ?        00:00:00 at-spi-bus-laun
 2993 ?        00:00:00 dbus-daemon
 3009 ?        00:00:00 at-spi2-registr
 3117 ?        00:00:01 gpg-agent
 3124 ?        00:00:00 ibus-engine-sim
 3198 ?        00:00:00 unity-settings-
 3200 ?        00:00:00 bamfdaemon
 3203 ?        00:00:00 gnome-session-b
 3223 ?        00:00:01 unity-panel-ser
 3257 ?        00:00:00 indicator-bluet
 3258 ?        00:00:00 indicator-power
 32

# Linux-Rechtekonzept

Mehrere Benutzer fordern vom OS ein Rechtekonzept für:

-   Prozesse
-   Dateien und
-   Verzeichnisse …

Linux implementiert Unix-Konzept

## Besondere Zugriffsrechte für ausführbare Dateien

In [52]:
ls -l /usr/bin/passwd

-rwsr-xr-x 1 root root 54256 Mai 16  2017 /usr/bin/passwd


- Mit Hilfe des Set-UID-Bits (oft kurz "SUID-Bit« genannt) kann dafür gesorgt werden, dass ein Programm nicht mit den Rechten des Aufrufers, sondern des Dateieigentümers – hier root – ausgeführt wird.
- Analog zum Set-UID-Bit gibt es auch ein SGID-Bit

Die SUID- und SGID-Modi werden mit chmod verändert, indem Sie symbolische Schlüssel wie u+s (setzt das SUID-Bit) oder g-s (löscht das SGID-Bit) angeben.

In oktalen Modi können diese Bits gesetzt werden, indem eine vierte Ziffer ganz links hinzugefügt wird:

- SUID-Bit hat den Wert 4,
- SGID-Bit den Wert 2
- Eine Datei mit den Zugriffsmodus 4755 ist für alle Benutzer lesbar und mit Eigentümerrechten ausführbar.

## Besondere Zugriffsrechte für Verzeichnisse

Der Eigentümer eines Verzeichnisses kann bestimmen, dass die in diesem Verzeichnis erzeugten Dateien der gleichen Benutzergruppe gehören wie das Verzeichnis selbst, indem das SGID-Bit des Verzeichnisses gesetzt wird.


Anwendungsfall SGID-Bit auf Verzeichnis

- Ein Datenablage einer Projektgruppe

```bash
groupadd projekt
usermod -a -G projekt hugo 
usermod -a -G projekt susi
cd /home/projekt
chgrp projekt /home/projekt
chmod u=rwx,g=srwx /home/projekt
```

Problem: Schreibrecht für das Verzeichnis erlaubt auch das Löschen fremder Dateien!

Lösung: sticky bit

In [54]:
ls -lachid /tmp

2228225 drwxrwxrwt 11 root root 12K Feb 19 15:17 /tmp


Eine Datei in einem sicky-Bit-Verzeichnis kann nur von:

- ihrem Eigentümer,
- dem Eigentümer des Verzeichnisses oder
- root gelöscht werden.

Das sticky bit kann über +t bzw. -t gesetzt oder gelöscht werden, oktal hat es den Wert 1 ganz links.

## Übungen

- Was bedeutet das spezielle Zugriffsrecht "s"? Wo finden Sie es?
- Mit welchem umask -Aufruf können Sie eine umask einstellen, die im Projektverzeichnis-Beispiel allen Mitgliedern der Gruppe projekt das Lesen und Schreiben von Dateien im Projektverzeichnis erlaubt?
- Was bedeutet das spezielle Zugriffsrecht "t"? Wo finden Sie es?
- (Für Programmierer.) Schreiben Sie ein C-Programm, das ein geeignetes Kommando (etwa id ) aufruft. Machen Sie dieses Programm SUID-root bzw. SGID-root und beobachten Sie, was passiert.
- Wenn Sie sie für ein paar Minuten mit einer root -Shell alleine lassen, könnten findige Benutzer versuchen, irgendwo im System eine Shell zu hinterlegen, die sie SUID root gemacht haben, um auf diese Weise nach Bedarf Administratorrechte zu bekommen. Funktioniert das mit der Bash? Mit anderen Shells?

# Kommandos

- `chgrp` Setzt Gruppenzugehörigkeit von Dateien und Verzeichnissen chgrp (1)
- `chmod` Setzt Rechte für Dateien und Verzeichnisse chmod (1)
- `chown` Setzt Eigentümer und Gruppenzugehörigkeit für Dateien und Verzeichnisse chown (1)

Zusammenfassung
===============

- Linux unterscheidet für Dateien das Lese-, Schreib- und Ausführungsrecht, wobei diese Rechte getrennt für den Eigentümer der Datei, die Mitglieder der der Datei zugeordneten Gruppe und den »Rest der Welt« angegeben werden können.
- Die Gesamtheit der Rechte für eine Datei heißt auch Zugriffsmodus.
- Jede Datei (und jedes Verzeichnis) hat einen Eigentümer und eine Gruppe. Zugriffsrechte – Lese-, Schreib- und Ausführungsrecht – werden für diese beiden Kategorien und den »Rest der Welt« getrennt vergeben. Nur der Eigentümer darf die Zugriffsrechte setzen.
- Für den Systemverwalter (root ) gelten die Zugriffsrechte nicht – er darf jede Datei lesen oder schreiben.
- Dateirechte werden mit dem Kommando chmod manipuliert. 

- Mit chown kann der Systemverwalter die Eigentümer- und Gruppenzuordnung beliebiger Dateien ändern.
- Normale Benutzer können mit chgrp ihre Dateien einer anderen Gruppe zuordnen.
- SUID- und SGID-Bit erlauben es, Programme mit den Rechten des Dateieigentümers bzw. der der Datei zugeordneten Gruppe anstatt den Rechten des Aufrufers auszuführen.
- Das SGID-Bit auf einem Verzeichnis bewirkt, dass neue Dateien in diesem Verzeichnis der Gruppe des Verzeichnisses zugeordnet werden (und nicht der primären Gruppe des anlegenden Benutzers).
- Das sticky bit auf einem Verzeichnis erlaubt das Löschen von Dateien nur dem Eigentümer (und dem Systemadministrator).

# Erweiterte Posix-ACLs

Siehe auch hier: https://wiki.ubuntuusers.de/ACL/

- Mithilfe der ACLs (Access Control List) ist es möglich, dass mehrere Gruppen oder Benutzer an einer Datei oder einem Verzeichnis unterschiedliche Rechte erhalten.
- Dateisysteme ext2-4, reiserfs und jfs unterstützen acl.
- Eintrag in /etc/fstab /dev/hda /daten ext3 defaults,acl 0 0


In [1]:
sudo tune2fs -l /dev/mapper/rdf--dev--vg-root

tune2fs 1.42.13 (17-May-2015)
Filesystem volume name:   <none>
Last mounted on:          /
Filesystem UUID:          6a9c77e2-b67e-4662-aea4-a2bef2229b99
Filesystem magic number:  0xEF53
Filesystem revision #:    1 (dynamic)
Filesystem features:      has_journal ext_attr resize_inode dir_index filetype needs_recovery extent flex_bg sparse_super large_file huge_file uninit_bg dir_nlink extra_isize
Filesystem flags:         signed_directory_hash 
Default mount options:    user_xattr acl
Filesystem state:         clean
Errors behavior:          Continue
Filesystem OS type:       Linux
Inode count:              8167424
Block count:              32642048
Reserved block count:     1632102
Free blocks:              27834436
Free inodes:              7433143
First block:              0
Block size:               4096
Fragment size:            4096
Reserved GDT blocks:      1016
Blocks per group:         32768
Fragments per group:      32768
Inodes per group:         8192
Inode blocks per group:

In [5]:
sudo tune2fs -l /dev/sda2

tune2fs 1.42.13 (17-May-2015)
tune2fs: Der Versuch, einen Block vom Dateisystem zu lesen, endete in kurzem Lesen beim Versuch, /dev/sda2 zu öffnen
Es kann kein gültiger Dateisystem-Superblock gefunden werden.


: 1

In [8]:
sudo blkid

/dev/sda1: UUID="41ae5757-88a5-45e1-b84d-1d66fb6cc400" TYPE="ext2" PARTUUID="9e347542-01"
/dev/sda5: UUID="SopPB8-DeGP-ewzY-YYo6-dhU9-uWfU-XIS5Jh" TYPE="LVM2_member" PARTUUID="9e347542-05"
/dev/mapper/rdf--dev--vg-root: UUID="6a9c77e2-b67e-4662-aea4-a2bef2229b99" TYPE="ext4"
/dev/mapper/rdf--dev--vg-swap_1: UUID="182d9a0c-9e76-474b-a462-fb2db0c65da5" TYPE="swap"


In [2]:
sudo tune2fs -l /dev/mapper/rdf--dev--vg-root | grep acl

Default mount options:    user_xattr acl


Zwei Kommandos Aus dem Paket acl

- getfacl
- setfacl

In [11]:
apt policy acl

acl:
  Installiert:           2.2.52-3
  Installationskandidat: 2.2.52-3
  Versionstabelle:
 *** 2.2.52-3 500
        500 http://us.archive.ubuntu.com/ubuntu xenial/main amd64 Packages
        100 /var/lib/dpkg/status


In [10]:
sudo apt update
sudo apt install --yes acl

Holen:1 http://ppa.launchpad.net/ansible/ansible/ubuntu xenial InRelease [18,0 kB]
Holen:2 http://ppa.launchpad.net/git-core/ppa/ubuntu xenial InRelease [17,5 kB][0m[33m
OK:3 http://ppa.launchpad.net/gnome-terminator/ppa/ubuntu xenial InRelease     [0m[33m
Holen:4 http://security.ubuntu.com/ubuntu xenial-security InRelease [102 kB]   [0m[33m
OK:5 http://ppa.launchpad.net/webupd8team/atom/ubuntu xenial InRelease         [0m[33m
Holen:6 https://download.docker.com/linux/ubuntu xenial InRelease [65,8 kB]    [0m[33m
Holen:7 http://ppa.launchpad.net/ansible/ansible/ubuntu xenial/main amd64 Packages [540 B]
Holen:8 http://ppa.launchpad.net/ansible/ansible/ubuntu xenial/main i386 Packages [540 B]
Ign:9 http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 InRelease      [0m[33m
Ign:10 http://dl.google.com/linux/chrome/deb stable InRelease                  [0m
Holen:11 http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 Release [3.457 B][33m
Holen:12 http://ppa.launchpad

In [19]:
setfacl --help

setfacl 2.2.52 -- Datei-Zugriffskontrollisten (ACLs) ändern
Verwendung: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
  -m, --modify=acl         Verändere die ACL(s) von Datei(en)
  -M, --modify-file=datei  Lies die ACL-Einträge aus datei
  -x, --remove=acl         Entferne Einträge aus ACLs von Datei(en)
  -X, --remove-file=datei  Lies die ACL-Einträge aus datei
  -b, --remove-all         Alle erweiterten ACL-Einträge entfernen
  -k, --remove-default     Vorgabe-ACL entfernen
      --set=acl            Ersetze die ACL von Datei(en)
      --set-file=datei     Lies die ACL-Einträge aus datei
      --mask               Effektive Rechte nicht neu berechnen
  -n, --no-mask            Effektive Rechte nicht neu berechnen
  -d, --default            Bearbeite die Vorgabe-ACL
  -R, --recursive          In Unterverzeichnisse wechseln
  -L, --logical            Symbolischen Links folgen
  -P, --physical           Symbolischen Links nicht folgen
      --restore=datei      ACLs wiederherstellen 

setfacl -m u:BENUTZER:-,g:GRUPPE:RECHTE,... DATEI ... 

- -m ACL soll modifiziert werden
- g:verw-al g steht für Gruppe
- u:user-pcxy für User
- :rwx Rechte die vergeben werden soll

- ACL erkennt man bei ls -l durch das + Zeichen am Ende der Rechte.
- Mit getfacl können die Rechte ausgegeben werden.
- Wird ein neues Verzeichnis erstellt, wird nichts vererbt.
- -d setzt man Default-ACLs. Diese werden weiter vererbt.

In [12]:
rm acl-test.txt && touch acl-test.txt || touch acl-test.txt
ls -lachi acl-test.txt
id

rm: das Entfernen von 'acl-test.txt' ist nicht möglich: Datei oder Verzeichnis nicht gefunden
1582609 -rw-r--r-- 1 vagrant vagrant 0 Feb 20 08:14 acl-test.txt
uid=900(vagrant) gid=900(vagrant) Gruppen=900(vagrant),27(sudo),998(docker)


In [13]:
setfacl -m g:docker:rw- acl-test.txt

In [14]:
ls -lachi acl-test.txt

1582609 -rw-rw-r--+ 1 vagrant vagrant 0 Feb 20 08:15 acl-test.txt


In [15]:
getfacl acl-test.txt

# file: acl-test.txt
# owner: vagrant
# group: vagrant
user::rw-
group::r--
group:docker:rw-
mask::rw-
other::r--



In [28]:
id root

uid=0(root) gid=0(root) Gruppen=0(root)


In [16]:
setfacl -m u:root:r--,g:root:rw-,o:--- acl-test.txt

In [17]:
getfacl acl-test.txt

# file: acl-test.txt
# owner: vagrant
# group: vagrant
user::rw-
user:root:r--
group::r--
group:root:rw-
group:docker:rw-
mask::rw-
other::---



In [19]:
ls -lachi acl-test.txt

1582609 -rw-rw----+ 1 vagrant vagrant 0 Feb 20 08:25 acl-test.txt


In [20]:
chmod g=--- acl-test.txt

In [21]:
getfacl acl-test.txt

# file: acl-test.txt
# owner: vagrant
# group: vagrant
user::rw-
user:root:r--			#effective:---
group::r--			#effective:---
group:root:rw-			#effective:---
group:docker:rw-		#effective:---
mask::---
other::---



- Setzen von erweiterten ACLs
- Bei ACL-Dateisystemen ändert chmod nur noch die ACL-mask nicht mehr die Rechte.
- Der Befehl ls -l bei einem ACL-Datei wird nur die Maske angezeigt
- setfacl -R  
  rekursiv
- setfacl -k  
  entfernt Default-ACLs
- setfacl -b  
  löscht ACLs

- Sichern und zurückspielen von ACLs

```bash
getfacl -R /daten > acl.bak
setfacl -restore=acl.bak /daten ?
```

# Erweiterte Dateisystemattribute

- Eintrag in /etc/fastab … defautls,user\_xattr …
- mount -o remount /daten
- `lsattr` anzeigen der Attribute
- `chattr` ändern der Attribute – entfernen + hinzufügen
- Paket attr wird benötigt für die obigen Kommandos `lsattr` und `chattr`

In [25]:
apt policy attr

attr:
  Installiert:           1:2.4.47-2
  Installationskandidat: 1:2.4.47-2
  Versionstabelle:
 *** 1:2.4.47-2 500
        500 http://us.archive.ubuntu.com/ubuntu xenial/main amd64 Packages
        100 /var/lib/dpkg/status


In [23]:
sudo apt install -y attr

Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Die folgenden NEUEN Pakete werden installiert:
  attr
0 aktualisiert, 1 neu installiert, 0 zu entfernen und 233 nicht aktualisiert.
Es müssen 25,5 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 143 kB Plattenplatz zusätzlich benutzt.
Holen:1 http://us.archive.ubuntu.com/ubuntu xenial/main amd64 attr amd64 1:2.4.47-2 [25,5 kB]
Es wurden 25,5 kB in 0 s geholt (62,5 kB/s).
debconf: kann Oberfläche nicht initialisieren: Dialog
debconf: (Die Dialog-Oberfläche funktioniert nicht auf einem Dumb-Terminal, einem Emacs-Shellbuffer oder ohne ein steuerndes Terminal.)
debconf: greife zurück auf die Oberfläche: Readline

7[0;23r8[1AVormals nicht ausgewähltes Paket attr wird gewählt.
(Lese Datenbank ... 143597 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereitung zum Entpacken von .../attr_1%3a2.4.47-2_amd64.deb ...
7[24;0f[42m[30mFor

In [24]:
lsattr acl-test.txt

-------------e-- acl-test.txt


Attribute unter: https://wiki.ubuntuusers.de/chattr/#Attribute

In [26]:
sudo chattr +i acl-test.txt

In [27]:
lsattr acl-test.txt

----i--------e-- acl-test.txt


In [28]:
echo "Hallo" >> acl-test.txt

bash: acl-test.txt: Keine Berechtigung


: 1

In [29]:
echo "Hallo" | sudo tee -a acl-test.txt

tee: acl-test.txt: Keine Berechtigung
Hallo


: 1

In [30]:
sudo chattr -i acl-test.txt

In [31]:
echo "Hallo" | sudo tee -a acl-test.txt

Hallo


In [32]:
cat acl-test.txt

Hallo


In [49]:
getfacl acl-test.txt

# file: acl-test.txt
# owner: vagrant
# group: vagrant
user::rw-
user:root:r--			#effective:---
group::r--			#effective:---
group:root:rw-			#effective:---
group:docker:rw-		#effective:---
mask::---
other::---



Jeder Benutzer:

- Attribut d  
  dump kann nicht sichern
- Attribut s  
  beim löschen wird mit Nullen überschrieben
- Attribut A  
  atime wird nicht geändert

Nur root

- Attribut a  
  Inhalt kann nicht geändert werden, nur angehängt
- Attribut i  
  kein ändern, Umbenennen und löschen mehr

Siehe man chattr

oder

https://wiki.ubuntuusers.de/chattr/