默認權限 umask
[root@CentOS7 data]# touch file1 ; ll file1
-rw-r--r--. 1 root root 0 Oct 9 13:55 file1
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-xr-x. 2 root root 6 Oct 9 13:55 dir1
umask是什么
從上面的例子中可以發(fā)現(xiàn)�����,新建文件和目錄的默認權限分別是644、755�����,為啥會這樣?這就要聊聊umask了����,Linux系統(tǒng)中默認的umask值是022,它直接影響了用戶創(chuàng)建的文件或目錄的默認權限�����,它與chmod的效果剛好相反���,umask是將文件的對應權限位遮掩住����,或者說是從文件的對應權限位“拿走”相關權限���,而chmod是給文件賦予相關權限��。
如何計算umask值
在Linux系統(tǒng)中��,目錄最大的權限是777�,文件最大的權限是666���,因為基于安全原因����,新建的文件不允許有執(zhí)行權限�����,所以從文件的權限位來看�,文件比目錄少了執(zhí)行(x)權限。
下面來設置不同的umask值并創(chuàng)建文件:
[root@CentOS7 data]# umask 222
[root@CentOS7 data]# touch file1 ; ll file1
-r--r--r-- 1 root root 0 Sep 30 16:41 file1
可以發(fā)現(xiàn)用666減去222就得到了444�,但真的是這樣計算嗎?來看看下面的這個例子:
[root@CentOS7 data]# umask 123
[root@CentOS7 data]# touch file2 ; ll file2
-rw-r--r-- 1 root root 0 Sep 30 16:48 file2
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drw-r-xr-- 2 root root 6 Sep 30 16:49 dir1
從結果中可以發(fā)現(xiàn)新建的文件權限并不是666-123=543�,而是644,而目錄的權限卻是正常減出來的值777-123=654�,這是為啥呢?我們把文件的最大值666和umask值123轉換成二進制對位展開來看下:
110 110 110-->666(文件最大權限值)
001 010 011-->123(umask值)
110 100 100-->644(新建文件的權限)
從結果來看就驗證了前面說的“umask是將文件的對應權限位遮掩住”��,1表示遮掩�,0則反之。
為了方便記憶可以用下面的這種計算方法:
目錄:默認權限是777減去umask值的結果
文件:默認權限是666減去umask值���,權限位對應的值如果為奇數(shù)則加1�����,例如:666-123=543����,其結果是644。
umask的使用方法
臨時生效:umask 022
永久生效:~/.bashrc(用戶設置�,推薦),/etc/bashrc(全局設置)
有時候需要給新建的文件一個非常嚴格的權限�����,比如000���,可以使用以下方法:
[root@CentOS7 data]# umask 666 ; touch file3
[root@CentOS7 data]# ll file3
---------- 1 root root 0 Sep 30 22:26 file3
[root@CentOS7 data]# umask
0666
or
[root@CentOS7 data]# touch file4 ; chmod 000 file4
[root@CentOS7 data]# ll file4
---------- 1 root root 0 Sep 30 22:33 file4
以上兩種方法雖然都能實現(xiàn)創(chuàng)建一個000權限的新文件��,但是看起來都挺繁瑣的�,尤其是前面的方法����。如果只是臨時設置一下umask值,可以用下面這個方法:
[root@CentOS7 data]# (umask 666 ; touch file5)
[root@CentOS7 data]# ll file5
---------- 1 root root 0 Sep 30 22:42 file5
[root@CentOS7 data]# umask
0022
這種方式只是臨時的改一下umask值����,而不會改變當前的umask值。
特殊權限 suid sgid sticky
suid
功能:作用于可執(zhí)行的二進制程序�,用戶執(zhí)行此程序時,將繼承此程序所有者的權限。
一般情況下�����,文件能不能訪問取決于用戶的身份����,而不是取決于文件本身�����。但是����,有了suid權限的文件就不是這么一回事了,最明顯的就是/etc/shadow這個文件���。我們都知道這個文件是用來保存用戶密碼的�,默認情況下�����,普通用戶對此文件沒有任何權限�����,但是當用戶執(zhí)行passwd這個二進制程序時卻能更改口令,同時也會將加密后的密碼保存到文件中�,這正是passwd這個二進制程序的特殊權限所在。
[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:18 /etc/shadow
[hechunping@CentOS7 ~]$ passwd
Changing password for user hechunping.
Changing password for hechunping.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:23 /etc/shadow
從上面的執(zhí)行結果中可以發(fā)現(xiàn)/etc/shadow文件的權限為000����,但是普通用戶hechunping卻依然可以執(zhí)行passwd命令來更改自己的口令,也就是說這個文件的內容也被更改了�����,不過從文件的權限來看是沒法更改的��,這是怎么回事呢�?這就是由于suid權限導致的,可以通過查看/usr/bin/passwd這個可執(zhí)行文件的權限來分析:
[root@CentOS7 data]# ll `which passwd`
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
可以看到這個可執(zhí)行的文件所有者段有個“s”�,這就代表著suid這個特殊權限,它的作用就是當用戶去執(zhí)行這個程序的時候會繼承所有者的權限����,所以普通用戶hechunping也能更改自己的口令。
sgid
功能:
作用于可執(zhí)行的二進制程序�����,用戶執(zhí)行此程序時,將繼承此程序所屬組的權限����。
作用于目錄,在此目錄中新建文件和目錄的所屬組將自動繼承父目錄的所屬組�。
測試1:當目錄的屬組為當前用戶的主組時,目錄下新建文件的所屬組也是當前用戶的主組�;
[root@CentOS7 data]# ll /data/ -d
drwxr-xr-x 2 root root 19 Oct 1 13:18 /data/
[root@CentOS7 data]# touch test1 ; ll test1
-rw-r--r-- 1 root root 0 Oct 1 13:19 test1
測試2:更改目錄的屬組為其它組,目錄下新建文件的所屬組依然是當前用戶的主組����;
[root@CentOS7 data]# chgrp hechunping /data/ ; ll /data/ -d
drwxr-xr-x 2 root hechunping 32 Oct 1 13:19 /data/
[root@CentOS7 data]# touch test2 ; ll test2
-rw-r--r-- 1 root root 0 Oct 1 13:20 test2
測試3:當目錄具有sgid權限時���,目錄下新建文件和目錄的所屬組自動繼承了父目錄的所屬組�。
[root@CentOS7 data]# chmod g+s /data/ ; ll /data/ -d
drwxr-sr-x 2 root hechunping 45 Oct 1 13:20 /data/
[root@CentOS7 data]# touch test3 ; ll test3
-rw-r--r-- 1 root hechunping 0 Oct 1 13:21 test3
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-sr-x 2 root hechunping 6 Oct 1 13:23 dir1
sticky
功能:作用于目錄�����,該目錄下的文件只有文件所有者或root才能刪除���。
測試1:給/data目錄777權限����,root在該目錄下新建的文件普通用戶hechunping能刪除
[root@CentOS7 data]# chmod 777 /data/ ; ll /data/ -d
drwxrwxrwx 2 root root 6 Oct 1 13:56 /data/
[root@CentOS7 data]# touch file1
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct 1 13:52:22 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file1
[hechunping@CentOS7 ~]$ ls /data/
[hechunping@CentOS7 ~]$ exit
logout
測試2:給/data目錄設置了sticky權限后,普通用戶hechunping無法刪除該目錄root用戶的文件��,但是可以刪除自己的文件���。
[root@CentOS7 data]# chmod o+t /data/ ; ll /data/ -d
drwxrwxrwt 2 root root 6 Oct 1 13:57 /data/
[root@CentOS7 data]# touch file2
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct 1 13:56:57 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file2
rm: cannot remove ‘/data/file2': Operation not permitted
[hechunping@CentOS7 ~]$ ll /data/
total 0
-rw-r--r-- 1 root root 0 Oct 1 13:58 file2
ps:在Linux系統(tǒng)中/tmp目錄默認就設置了sticky權限
設定文件特定屬性
雖然說權限是給普通用戶設置的��,但是有些文件設置了特殊屬性后�,root也無法進行刪除����、更改等操作,通過chattr命令來實現(xiàn)�。
chattr
更改Linux文件系統(tǒng)上的文件屬性
【例1】通過chattr命令來設置文件的屬性,實現(xiàn)無法刪除����、更改內容和重命名操作:
[root@CentOS7 data]# touch file1 ; chattr +i file1
[root@CentOS7 data]# rm -rf file1
rm: cannot remove ‘file1': Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1' to ‘file1.bak': Operation not permitted
[root@CentOS7 data]# echo "hello" >> file1
-bash: file1: Permission denied
【例2】通過chattr命令來設置文件的屬性,實現(xiàn)只能追加內容的操作:
[root@CentOS7 data]# touch file1;chattr +a file1
[root@CentOS7 data]# echo "hello" >> file1
[root@CentOS7 data]# > file1
-bash: file1: Operation not permitted
[root@CentOS7 data]# rm -rf file1
rm: cannot remove ‘file1': Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1' to ‘file1.bak': Operation not permitted
[root@CentOS7 data]# echo "world" >> file1
【例3】列出文件的特定屬性
[root@CentOS7 data]# lsattr file1
-----a---------- file1
ps:如果要去掉用chattr設定的特定屬性���,把“+”換成“-”即可����。
總結
以上所述是小編給大家介紹的Linux系統(tǒng)文件的默認權限和特殊權限,希望對大家有所幫助���,如果大家有任何疑問請給我留言����,小編會及時回復大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持�����!
如果你覺得本文對你有幫助��,歡迎轉載�,煩請注明出處,謝謝���!
