02-2508:39阅读665
关注
这篇文章主要介绍了Linux系统文件的默认权限和特殊权限的相关知识,十分不错,具有一定的参考借鉴价值,须要的同学可以参考下
默认权限umask
1
2
3
4
[root@CentOS7data]#touchfile1;llfile1
-rw-r--r--.1rootroot0Oct913:55file1
[root@CentOS7data]#mkdirdir1;lldir1-d
drwxr-xr-x.2rootroot6Oct913:55dir1
umask是哪些
从前面的事例中可以发觉,新建文件和目录的默认权限分别是644、755,为什么会这样?这就要说说umask了,Linux系统中默认的umask值是022linux启动盘制作工具,它直接影响了用户创建的文件或目录的默认权限,它与chmod的疗效正好相反,umask是将文件的对应权限位遮掩住,或则说是从文件的对应权限位“拿走”相关权限,而chmod是给文件赋于相关权限。
怎么估算umask值
在Linux系统中,目录最大的权限是777,文件最大的权限是666文件的权限 linux,由于基于安全缘由,新建的文件不容许有执行权限,所以从文件的权限位来看,文件比目录少了执行(x)权限。
下边来设置不同的umask值并创建文件:
1
2
3
[root@CentOS7data]#umask222
[root@CentOS7data]#touchfile1;llfile1
-r--r--r--1rootroot0Sep3016:41file1
可以发觉用666乘以222就得到了444,但真的是这样估算吗?来瞧瞧下边的这个事例:
1
2
3
4
5
6
[root@CentOS7data]#umask123
[root@CentOS7data]#touchfile2;llfile2
-rw-r--r--1rootroot0Sep3016:48file2
[root@CentOS7data]#mkdirdir1;lldir1-d
drw-r-xr--2rootroot6Sep3016:49dir1
从结果中可以发觉新建的文件权限并不是666-123=543,而是644,而目录的权限却是正常减下来的值777-123=654,这是为什么呢?我们把文件的最大值666和umask值123转换成二补码对位展开来看下:
1
2
3
110110110-->666(文件最大权限值)
001010011-->123(umask值)
110100100-->644(新建文件的权限)
从结果来看就验证了上面说的“umask是将文件的对应权限位遮掩住”,1表示遮掩,0则反之。
为了便捷记忆可以用下边的这些估算方式:
目录:默认权限是777除以umask值的结果
文件:默认权限是666除以umask值,权限位对应的值假如为质数则加1,比如:666-123=543,其结果是644。
umask的使用方式
临时生效:umask022
永久生效:~/.bashrc(用户设置,推荐),/etc/bashrc(全局设置)
有时侯须要给新建的文件一个特别严格的权限,例如000,可以使用以下方式:
1
2
3
4
5
6
7
8
9
[root@CentOS7data]#umask666;touchfile3
[root@CentOS7data]#llfile3
----------1rootroot0Sep3022:26file3
[root@CentOS7data]#umask
0666
or
[root@CentOS7data]#touchfile4;chmod000file4
[root@CentOS7data]#llfile4
----------1rootroot0Sep3022:33file4
以上两种方式其实都能实现创建一个000权限的新文件,并且看上去都挺冗长的,尤其是上面的方式。假如只是临时设置一下umask值,可以用下边这个方式:
1
2
3
4
5
[root@CentOS7data]#(umask666;touchfile5)
[root@CentOS7data]#llfile5
----------1rootroot0Sep3022:42file5
[root@CentOS7data]#umask
0022
这些方法只是临时的改一下umask值,而不会改变当前的umask值。
特殊权限suidsgidsticky
suid
功能:作用于可执行的二补码程序,用户执行此程序时,将承继此程序所有者的权限。
通常情况下,文件能不能访问取决于用户的身分,而不是取决于文件本身。并且,有了suid权限的文件就不是那么一回事了,最显著的就是/etc/shadow这个文件。我们都晓得这个文件是拿来保存用户密码的,默认情况下,普通用户对此文件没有任何权限,而且当用户执行passwd这个二补码程序时却能更改口令,同时也会将加密后的密码保存到文件中,这正是passwd这个二补码程序的特殊权限所在。
1
2
3
4
5
6
7
8
9
10
11
[hechunping@CentOS7~]$ll/etc/shadow
----------1rootroot1271Sep3023:18/etc/shadow
[hechunping@CentOS7~]$passwd
Changingpasswordforuserhechunping.
Changingpasswordforhechunping.
(current)UNIXpassword:
Newpassword:
Retypenewpassword:
passwd:allauthenticationtokensupdatedsuccessfully.
[hechunping@CentOS7~]$ll/etc/shadow
----------1rootroot1271Sep3023:23/etc/shadow
从里面的执行结果中可以发觉/etc/shadow文件的权限为000,而且普通用户hechunping却仍然可以执行passwd命令来修改自己的口令,也就是说这个文件的内容也被修改了,不过从文件的权限来看是无法修改的,这是如何回事呢?这就是因为suid权限造成的,可以通过查看/usr/bin/passwd这个可执行文件的权限来剖析:
1
2
[root@CentOS7data]#ll`whichpasswd`
-rwsr-xr-x.1rootroot27832Jun102014/usr/bin/passwd
可以看见这个可执行的文件所有者段有个“s”,这就代表着suid这个特殊权限,它的作用就是当用户去执行这个程序的时侯会承继所有者的权限,所以普通用户hechunping也能修改自己的口令。
sgid
功能:
作用于可执行的二补码程序,用户执行此程序时,将承继此程序所属组的权限。
作用于目录,在此目录中新建文件和目录的所属组将手动承继父目录的所属组。
测试1:当目录的属组为当前用户的主组时文件的权限 linux,目录下新建文件的所属组也是当前用户的主组;
1
2
3
4
[root@CentOS7data]#ll/data/-d
drwxr-xr-x2rootroot19Oct113:18/data/
[root@CentOS7data]#touchtest1;lltest1
-rw-r--r--1rootroot0Oct113:19test1
测试2:修改目录的属组为其它组,目录下新建文件的所属组仍然是当前用户的主组;
1
2
3
4
[root@CentOS7data]#chgrphechunping/data/;ll/data/-d
drwxr-xr-x2roothechunping32Oct113:19/data/
[root@CentOS7data]#touchtest2;lltest2
-rw-r--r--1rootroot0Oct113:20test2
测试3:当目录具有sgid权限时,目录下新建文件和目录的所属组手动承继了父目录的所属组。
1
2
3
4
5
6
7
[root@CentOS7data]#chmodg+s/data/;ll/data/-d
drwxr-sr-x2roothechunping45Oct113:20/data/
[root@CentOS7data]#touchtest3;lltest3
-rw-r--r--1roothechunping0Oct113:21test3
[root@CentOS7data]#mkdirdir1;lldir1-d
drwxr-sr-x2roothechunping6Oct113:23dir1
sticky
功能:作用于目录,该目录下的文件只有文件所有者或root能够删掉。
测试1:给/data目录777权限,root在该目录下新建的文件普通用户hechunping能删掉
1
2
3
4
5
6
7
8
9
[root@CentOS7data]#chmod777/data/;ll/data/-d
drwxrwxrwx2rootroot6Oct113:56/data/
[root@CentOS7data]#touchfile1
[root@CentOS7data]#su-hechunping
Lastlogin:TueOct113:52:22CST2019onpts/0
[hechunping@CentOS7~]$rm-rf/data/file1
[hechunping@CentOS7~]$ls/data/
[hechunping@CentOS7~]$exit
logout
测试2:给/data目录设置了sticky权限后,普通用户hechunping未能删掉该目录root用户的文件linux教程下载,而且可以删掉自己的文件。
1
2
3
4
5
6
7
8
9
10
[root@CentOS7data]#chmodo+t/data/;ll/data/-d
drwxrwxrwt2rootroot6Oct113:57/data/
[root@CentOS7data]#touchfile2
[root@CentOS7data]#su-hechunping
Lastlogin:TueOct113:56:57CST2019onpts/0
[hechunping@CentOS7~]$rm-rf/data/file2
rm:cannotremove‘/data/file2':Operationnotpermitted
[hechunping@CentOS7~]$ll/data/
total0
-rw-r--r--1rootroot0Oct113:58file2
ps:在Linux系统中/tmp目录默认就设置了sticky权限
设定文件特定属性
尽管说权限是给普通用户设置的,并且有些文件设置了特殊属性后,root也难以进行删掉、更改等操作,通过chattr命令来实现。
chattr
修改Linux文件系统上的文件属性
【例1】通过chattr命令来设置文件的属性,实现难以删掉、更改内容和重命名操作:
1
2
3
4
5
6
7
[root@CentOS7data]#touchfile1;chattr+ifile1
[root@CentOS7data]#rm-rffile1
rm:cannotremove‘file1':Operationnotpermitted
[root@CentOS7data]#mvfile1file1.bak
mv:cannotmove‘file1'to‘file1.bak':Operationnotpermitted
[root@CentOS7data]#echo"hello">>file1
-bash:file1:Permissiondenied
【例2】通过chattr命令来设置文件的属性,实现只能追加内容的操作:
1
2
3
4
5
6
7
8
9
[root@CentOS7data]#touchfile1;chattr+afile1
[root@CentOS7data]#echo"hello">>file1
[root@CentOS7data]#>file1
-bash:file1:Operationnotpermitted
[root@CentOS7data]#rm-rffile1
rm:cannotremove‘file1':Operationnotpermitted
[root@CentOS7data]#mvfile1file1.bak
mv:cannotmove‘file1'to‘file1.bak':Operationnotpermitted
[root@CentOS7data]#echo"world">>file1
【例3】列出文件的特定属性
1
2
[root@CentOS7data]#lsattrfile1
-----a----------file1
ps:假如要除去用chattr设定的特定属性,把“+”换成“-”即可。
总结
以上所述是小编给你们介绍的Linux系统文件的默认权限和特殊权限,希望对你们有所帮助
本文原创地址:https://www.linuxprobe.com/lxtzmrduzsws.html编辑:刘遄,审核员:暂无
