重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
[root@CentOS7 data]# touch file1 ; ll file1
-rw-r--r--. 1 root root 0 Oct 9 13:55 file1
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-xr-x. 2 root root 6 Oct 9 13:55 dir1
umask是什么
从上面的例子中可以发现,新建文件和目录的默认权限分别是644、755,为啥会这样?这就要聊聊umask了,Linux系统中默认的umask值是022,它直接影响了用户创建的文件或目录的默认权限,它与chmod的效果刚好相反,umask是将文件的对应权限位遮掩住,或者说是从文件的对应权限位“拿走”相关权限,而chmod是给文件赋予相关权限。
目前创新互联已为近千家的企业提供了网站建设、域名、网络空间、网站改版维护、企业网站设计、改则网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。如何计算umask值
在Linux系统中,目录大的权限是777,文件大的权限是666,因为基于安全原因,新建的文件不允许有执行权限,所以从文件的权限位来看,文件比目录少了执行(x)权限。
下面来设置不同的umask值并创建文件:
[root@CentOS7 data]# umask 222
[root@CentOS7 data]# touch file1 ; ll file1
-r--r--r-- 1 root root 0 Sep 30 16:41 file1
可以发现用666减去222就得到了444,但真的是这样计算吗?来看看下面的这个例子:
[root@CentOS7 data]# umask 123
[root@CentOS7 data]# touch file2 ; ll file2
-rw-r--r-- 1 root root 0 Sep 30 16:48 file2
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drw-r-xr-- 2 root root 6 Sep 30 16:49 dir1
从结果中可以发现新建的文件权限并不是666-123=543,而是644,而目录的权限却是正常减出来的值777-123=654,这是为啥呢?我们把文件的大值666和umask值123转换成二进制对位展开来看下:
110 110 110-->666(文件大权限值)
001 010 011-->123(umask值)
110 100 100-->644(新建文件的权限)
从结果来看就验证了前面说的“umask是将文件的对应权限位遮掩住”,1表示遮掩,0则反之。
为了方便记忆可以用下面的这种计算方法:
目录:默认权限是777减去umask值的结果
文件:默认权限是666减去umask值,权限位对应的值如果为奇数则加1,例如:666-123=543,其结果是644。
umask的使用方法
临时生效:umask 022
永久生效:~/.bashrc(用户设置,推荐),/etc/bashrc(全局设置)
有时候需要给新建的文件一个非常严格的权限,比如000,可以使用以下方法:
[root@CentOS7 data]# umask 666 ; touch file3
[root@CentOS7 data]# ll file3
---------- 1 root root 0 Sep 30 22:26 file3
[root@CentOS7 data]# umask
0666
or
[root@CentOS7 data]# touch file4 ; chmod 000 file4
[root@CentOS7 data]# ll file4
---------- 1 root root 0 Sep 30 22:33 file4
以上两种方法虽然都能实现创建一个000权限的新文件,但是看起来都挺繁琐的,尤其是前面的方法。如果只是临时设置一下umask值,可以用下面这个方法:
[root@CentOS7 data]# (umask 666 ; touch file5)
[root@CentOS7 data]# ll file5
---------- 1 root root 0 Sep 30 22:42 file5
[root@CentOS7 data]# umask
0022
这种方式只是临时的改一下umask值,而不会改变当前的umask值。
suid
一般情况下,文件能不能访问取决于用户的身份,而不是取决于文件本身。但是,有了suid权限的文件就不是这么一回事了,最明显的就是/etc/shadow这个文件。我们都知道这个文件是用来保存用户密码的,默认情况下,普通用户对此文件没有任何权限,但是当用户执行passwd这个二进制程序时却能更改口令,同时也会将加密后的密码保存到文件中,这正是passwd这个二进制程序的特殊权限所在。
[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:18 /etc/shadow
[hechunping@CentOS7 ~]$ passwd
Changing password for user hechunping.
Changing password for hechunping.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:23 /etc/shadow
从上面的执行结果中可以发现/etc/shadow文件的权限为000,但是普通用户hechunping却依然可以执行passwd命令来更改自己的口令,也就是说这个文件的内容也被更改了,不过从文件的权限来看是没法更改的,这是怎么回事呢?这就是由于suid权限导致的,可以通过查看/usr/bin/passwd这个可执行文件的权限来分析:
[root@CentOS7 data]# ll `which passwd`
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
可以看到这个可执行的文件所有者段有个“s”,这就代表着suid这个特殊权限,它的作用就是当用户去执行这个程序的时候会继承所有者的权限,所以普通用户hechunping也能更改自己的口令。
sgid
测试1:当目录的属组为当前用户的主组时,目录下新建文件的所属组也是当前用户的主组;
[root@CentOS7 data]# ll /data/ -d
drwxr-xr-x 2 root root 19 Oct 1 13:18 /data/
[root@CentOS7 data]# touch test1 ; ll test1
-rw-r--r-- 1 root root 0 Oct 1 13:19 test1
测试2:更改目录的属组为其它组,目录下新建文件的所属组依然是当前用户的主组;
[root@CentOS7 data]# chgrp hechunping /data/ ; ll /data/ -d
drwxr-xr-x 2 root hechunping 32 Oct 1 13:19 /data/
[root@CentOS7 data]# touch test2 ; ll test2
-rw-r--r-- 1 root root 0 Oct 1 13:20 test2
测试3:当目录具有sgid权限时,目录下新建文件和目录的所属组自动继承了父目录的所属组。
[root@CentOS7 data]# chmod g+s /data/ ; ll /data/ -d
drwxr-sr-x 2 root hechunping 45 Oct 1 13:20 /data/
[root@CentOS7 data]# touch test3 ; ll test3
-rw-r--r-- 1 root hechunping 0 Oct 1 13:21 test3
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-sr-x 2 root hechunping 6 Oct 1 13:23 dir1
sticky
测试1:给/data目录777权限,root在该目录下新建的文件普通用户hechunping能删除
[root@CentOS7 data]# chmod 777 /data/ ; ll /data/ -d
drwxrwxrwx 2 root root 6 Oct 1 13:56 /data/
[root@CentOS7 data]# touch file1
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct 1 13:52:22 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file1
[hechunping@CentOS7 ~]$ ls /data/
[hechunping@CentOS7 ~]$ exit
logout
测试2:给/data目录设置了sticky权限后,普通用户hechunping无法删除该目录root用户的文件,但是可以删除自己的文件。
[root@CentOS7 data]# chmod o+t /data/ ; ll /data/ -d
drwxrwxrwt 2 root root 6 Oct 1 13:57 /data/
[root@CentOS7 data]# touch file2
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct 1 13:56:57 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file2
rm: cannot remove ‘/data/file2’: Operation not permitted
[hechunping@CentOS7 ~]$ ll /data/
total 0
-rw-r--r-- 1 root root 0 Oct 1 13:58 file2
虽然说权限是给普通用户设置的,但是有些文件设置了特殊属性后,root也无法进行删除、更改等操作,通过chattr命令来实现。
chattr
【例1】通过chattr命令来设置文件的属性,实现无法删除、更改内容和重命名操作:
[root@CentOS7 data]# touch file1 ; chattr +i file1
[root@CentOS7 data]# rm -rf file1
rm: cannot remove ‘file1’: Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1’ to ‘file1.bak’: Operation not permitted
[root@CentOS7 data]# echo "hello" >> file1
-bash: file1: Permission denied
【例2】通过chattr命令来设置文件的属性,实现只能追加内容的操作:
[root@CentOS7 data]# touch file1;chattr +a file1
[root@CentOS7 data]# echo "hello" >> file1
[root@CentOS7 data]# > file1
-bash: file1: Operation not permitted
[root@CentOS7 data]# rm -rf file1
rm: cannot remove ‘file1’: Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1’ to ‘file1.bak’: Operation not permitted
[root@CentOS7 data]# echo "world" >> file1
【例3】列出文件的特定属性
[root@CentOS7 data]# lsattr file1
-----a---------- file1
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。