Linux系統(tǒng)文件的默認(rèn)權(quán)限和特殊權(quán)限
默認(rèn)權(quán)限 umask
[root@CentOS7 data]# touch file1 ; ll file1 -rw-r--r--. 1 root root 0 Oct 9 13:55 file1 [root@CentOS7 data]# mkdir dir1 ; ll dir1 -d drwxr-xr-x. 2 root root 6 Oct 9 13:55 dir1
umask是什么
從上面的例子中可以發(fā)現(xiàn),新建文件和目錄的默認(rèn)權(quán)限分別是644、755,為啥會這樣?這就要聊聊umask了,Linux系統(tǒng)中默認(rèn)的umask值是022,它直接影響了用戶創(chuàng)建的文件或目錄的默認(rèn)權(quán)限,它與chmod的效果剛好相反,umask是將文件的對應(yīng)權(quán)限位遮掩住,或者說是從文件的對應(yīng)權(quán)限位“拿走”相關(guān)權(quán)限,而chmod是給文件賦予相關(guān)權(quán)限。
如何計(jì)算umask值
在Linux系統(tǒng)中,目錄最大的權(quán)限是777,文件最大的權(quán)限是666,因?yàn)榛?a href='http://mengdiqiu.com.cn/dedecms_aq/' target='_blank'>安全原因,新建的文件不允許有執(zhí)行權(quán)限,所以從文件的權(quán)限位來看,文件比目錄少了執(zhí)行(x)權(quán)限。
下面來設(shè)置不同的umask值并創(chuàng)建文件:
[root@CentOS7 data]# umask 222 [root@CentOS7 data]# touch file1 ; ll file1 -r--r--r-- 1 root root 0 Sep 30 16:41 file1
可以發(fā)現(xiàn)用666減去222就得到了444,但真的是這樣計(jì)算嗎?來看看下面的這個(gè)例子:
[root@CentOS7 data]# umask 123 [root@CentOS7 data]# touch file2 ; ll file2 -rw-r--r-- 1 root root 0 Sep 30 16:48 file2 [root@CentOS7 data]# mkdir dir1 ; ll dir1 -d drw-r-xr-- 2 root root 6 Sep 30 16:49 dir1
從結(jié)果中可以發(fā)現(xiàn)新建的文件權(quán)限并不是666-123=543,而是644,而目錄的權(quán)限卻是正常減出來的值777-123=654,這是為啥呢?我們把文件的最大值666和umask值123轉(zhuǎn)換成二進(jìn)制對位展開來看下:
110 110 110-->666(文件最大權(quán)限值) 001 010 011-->123(umask值) 110 100 100-->644(新建文件的權(quán)限)
從結(jié)果來看就驗(yàn)證了前面說的“umask是將文件的對應(yīng)權(quán)限位遮掩住”,1表示遮掩,0則反之。
為了方便記憶可以用下面的這種計(jì)算方法:
目錄:默認(rèn)權(quán)限是777減去umask值的結(jié)果
文件:默認(rèn)權(quán)限是666減去umask值,權(quán)限位對應(yīng)的值如果為奇數(shù)則加1,例如:666-123=543,其結(jié)果是644。
umask的使用方法
臨時(shí)生效:umask 022
永久生效:~/.bashrc(用戶設(shè)置,推薦),/etc/bashrc(全局設(shè)置)
有時(shí)候需要給新建的文件一個(gè)非常嚴(yán)格的權(quán)限,比如000,可以使用以下方法:
[root@CentOS7 data]# umask 666 ; touch file3 [root@CentOS7 data]# ll file3 ---------- 1 root root 0 Sep 30 22:26 file3 [root@CentOS7 data]# umask 0666 or [root@CentOS7 data]# touch file4 ; chmod 000 file4 [root@CentOS7 data]# ll file4 ---------- 1 root root 0 Sep 30 22:33 file4
以上兩種方法雖然都能實(shí)現(xiàn)創(chuàng)建一個(gè)000權(quán)限的新文件,但是看起來都挺繁瑣的,尤其是前面的方法。如果只是臨時(shí)設(shè)置一下umask值,可以用下面這個(gè)方法:
[root@CentOS7 data]# (umask 666 ; touch file5) [root@CentOS7 data]# ll file5 ---------- 1 root root 0 Sep 30 22:42 file5 [root@CentOS7 data]# umask 0022
這種方式只是臨時(shí)的改一下umask值,而不會改變當(dāng)前的umask值。
特殊權(quán)限 suid sgid sticky
suid
功能:作用于可執(zhí)行的二進(jìn)制程序,用戶執(zhí)行此程序時(shí),將繼承此程序所有者的權(quán)限。
一般情況下,文件能不能訪問取決于用戶的身份,而不是取決于文件本身。但是,有了suid權(quán)限的文件就不是這么一回事了,最明顯的就是/etc/shadow這個(gè)文件。我們都知道這個(gè)文件是用來保存用戶密碼的,默認(rèn)情況下,普通用戶對此文件沒有任何權(quán)限,但是當(dāng)用戶執(zhí)行passwd這個(gè)二進(jìn)制程序時(shí)卻能更改口令,同時(shí)也會將加密后的密碼保存到文件中,這正是passwd這個(gè)二進(jìn)制程序的特殊權(quán)限所在。
[hechunping@CentOS7 ~]$ ll /etc/shadow ---------- 1 root root 1271 Sep 30 23:18 /etc/shadow [hechunping@CentOS7 ~]$ passwd Changing password for user hechunping. Changing password for hechunping. (current) UNIX password: New password: Retype new password: passwd: all authentication tokens updated successfully. [hechunping@CentOS7 ~]$ ll /etc/shadow ---------- 1 root root 1271 Sep 30 23:23 /etc/shadow
從上面的執(zhí)行結(jié)果中可以發(fā)現(xiàn)/etc/shadow文件的權(quán)限為000,但是普通用戶hechunping卻依然可以執(zhí)行passwd命令來更改自己的口令,也就是說這個(gè)文件的內(nèi)容也被更改了,不過從文件的權(quán)限來看是沒法更改的,這是怎么回事呢?這就是由于suid權(quán)限導(dǎo)致的,可以通過查看/usr/bin/passwd這個(gè)可執(zhí)行文件的權(quán)限來分析:
[root@CentOS7 data]# ll `which passwd` -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd
可以看到這個(gè)可執(zhí)行的文件所有者段有個(gè)“s”,這就代表著suid這個(gè)特殊權(quán)限,它的作用就是當(dāng)用戶去執(zhí)行這個(gè)程序的時(shí)候會繼承所有者的權(quán)限,所以普通用戶hechunping也能更改自己的口令。
sgid
功能:
作用于可執(zhí)行的二進(jìn)制程序,用戶執(zhí)行此程序時(shí),將繼承此程序所屬組的權(quán)限。
作用于目錄,在此目錄中新建文件和目錄的所屬組將自動繼承父目錄的所屬組。
測試1:當(dāng)目錄的屬組為當(dāng)前用戶的主組時(shí),目錄下新建文件的所屬組也是當(dāng)前用戶的主組;
[root@CentOS7 data]# ll /data/ -d drwxr-xr-x 2 root root 19 Oct 1 13:18 /data/ [root@CentOS7 data]# touch test1 ; ll test1 -rw-r--r-- 1 root root 0 Oct 1 13:19 test1
測試2:更改目錄的屬組為其它組,目錄下新建文件的所屬組依然是當(dāng)前用戶的主組;
[root@CentOS7 data]# chgrp hechunping /data/ ; ll /data/ -d drwxr-xr-x 2 root hechunping 32 Oct 1 13:19 /data/ [root@CentOS7 data]# touch test2 ; ll test2 -rw-r--r-- 1 root root 0 Oct 1 13:20 test2
測試3:當(dāng)目錄具有sgid權(quán)限時(shí),目錄下新建文件和目錄的所屬組自動繼承了父目錄的所屬組。
[root@CentOS7 data]# chmod g+s /data/ ; ll /data/ -d drwxr-sr-x 2 root hechunping 45 Oct 1 13:20 /data/ [root@CentOS7 data]# touch test3 ; ll test3 -rw-r--r-- 1 root hechunping 0 Oct 1 13:21 test3 [root@CentOS7 data]# mkdir dir1 ; ll dir1 -d drwxr-sr-x 2 root hechunping 6 Oct 1 13:23 dir1 sticky
功能:作用于目錄,該目錄下的文件只有文件所有者或root才能刪除。
測試1:給/data目錄777權(quán)限,root在該目錄下新建的文件普通用戶hechunping能刪除
[root@CentOS7 data]# chmod 777 /data/ ; ll /data/ -d drwxrwxrwx 2 root root 6 Oct 1 13:56 /data/ [root@CentOS7 data]# touch file1 [root@CentOS7 data]# su - hechunping Last login: Tue Oct 1 13:52:22 CST 2019 on pts/0 [hechunping@CentOS7 ~]$ rm -rf /data/file1 [hechunping@CentOS7 ~]$ ls /data/ [hechunping@CentOS7 ~]$ exit logout
測試2:給/data目錄設(shè)置了sticky權(quán)限后,普通用戶hechunping無法刪除該目錄root用戶的文件,但是可以刪除自己的文件。
[root@CentOS7 data]# chmod o+t /data/ ; ll /data/ -d drwxrwxrwt 2 root root 6 Oct 1 13:57 /data/ [root@CentOS7 data]# touch file2 [root@CentOS7 data]# su - hechunping Last login: Tue Oct 1 13:56:57 CST 2019 on pts/0 [hechunping@CentOS7 ~]$ rm -rf /data/file2 rm: cannot remove ‘/data/file2': Operation not permitted [hechunping@CentOS7 ~]$ ll /data/ total 0 -rw-r--r-- 1 root root 0 Oct 1 13:58 file2
ps:在Linux系統(tǒng)中/tmp目錄默認(rèn)就設(shè)置了sticky權(quán)限
設(shè)定文件特定屬性
雖然說權(quán)限是給普通用戶設(shè)置的,但是有些文件設(shè)置了特殊屬性后,root也無法進(jìn)行刪除、更改等操作,通過chattr命令來實(shí)現(xiàn)。
chattr
更改Linux文件系統(tǒng)上的文件屬性
【例1】通過chattr命令來設(shè)置文件的屬性,實(shí)現(xiàn)無法刪除、更改內(nèi)容和重命名操作:
[root@CentOS7 data]# touch file1 ; chattr +i file1 [root@CentOS7 data]# rm -rf file1 rm: cannot remove ‘file1': Operation not permitted [root@CentOS7 data]# mv file1 file1.bak mv: cannot move ‘file1' to ‘file1.bak': Operation not permitted [root@CentOS7 data]# echo "hello" >> file1 -bash: file1: Permission denied
【例2】通過chattr命令來設(shè)置文件的屬性,實(shí)現(xiàn)只能追加內(nèi)容的操作:
[root@CentOS7 data]# touch file1;chattr +a file1 [root@CentOS7 data]# echo "hello" >> file1 [root@CentOS7 data]# > file1 -bash: file1: Operation not permitted [root@CentOS7 data]# rm -rf file1 rm: cannot remove ‘file1': Operation not permitted [root@CentOS7 data]# mv file1 file1.bak mv: cannot move ‘file1' to ‘file1.bak': Operation not permitted [root@CentOS7 data]# echo "world" >> file1
【例3】列出文件的特定屬性
[root@CentOS7 data]# lsattr file1 -----a---------- file1
ps:如果要去掉用chattr設(shè)定的特定屬性,把“+”換成“-”即可。
總結(jié)
以上所述是小編給大家介紹的Linux系統(tǒng)文件的默認(rèn)權(quán)限和特殊權(quán)限,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時(shí)回復(fù)大家的。在此也非常感謝大家對我們網(wǎng)站的支持!
如果你覺得本文對你有幫助,歡迎轉(zhuǎn)載,煩請注明出處,謝謝!
欄 目:Linux/apache
下一篇:CentOS8 yum/dnf 配置國內(nèi)源的方法
本文標(biāo)題:Linux系統(tǒng)文件的默認(rèn)權(quán)限和特殊權(quán)限
本文地址:http://mengdiqiu.com.cn/a1/Linux_apache/10785.html
您可能感興趣的文章
- 04-02linux關(guān)閉串口命令 關(guān)閉linux端口命令
- 04-02linux文件命令重命名 linux重命名文件名命令
- 04-02linux命令注入過濾 linux 代碼注入
- 04-02linux中jobs命令 shell jobs命令
- 04-02linux依次執(zhí)行命令 linux命令的執(zhí)行過程是怎樣的?新手必讀
- 04-02linux命令免輸入 linux配置免密登錄
- 04-02linux命令注銷vnc linux命令行注銷用戶
- 04-02軟交換linux命令 軟交換網(wǎng)絡(luò)主要協(xié)議有哪些
- 04-02linux命令歷史記錄 linux查看歷史記錄的操作命令
- 04-02linux命令頁面 linux命令頁面中文


閱讀排行
本欄相關(guān)
- 04-02linux關(guān)閉串口命令 關(guān)閉linux端口命令
- 04-02linux文件命令重命名 linux重命名文件名
- 04-02linux中jobs命令 shell jobs命令
- 04-02linux命令注入過濾 linux 代碼注入
- 04-02linux依次執(zhí)行命令 linux命令的執(zhí)行過程
- 04-02linux命令注銷vnc linux命令行注銷用戶
- 04-02linux命令免輸入 linux配置免密登錄
- 04-02軟交換linux命令 軟交換網(wǎng)絡(luò)主要協(xié)議
- 04-02linux命令歷史記錄 linux查看歷史記錄的
- 04-02linux命令頁面 linux命令頁面中文
隨機(jī)閱讀
- 01-10C#中split用法實(shí)例總結(jié)
- 01-10SublimeText編譯C開發(fā)環(huán)境設(shè)置
- 01-10delphi制作wav文件的方法
- 01-10使用C語言求解撲克牌的順子及n個(gè)骰子
- 04-02jquery與jsp,用jquery
- 08-05織夢dedecms什么時(shí)候用欄目交叉功能?
- 01-11ajax實(shí)現(xiàn)頁面的局部加載
- 08-05dedecms(織夢)副欄目數(shù)量限制代碼修改
- 01-11Mac OSX 打開原生自帶讀寫NTFS功能(圖文
- 08-05DEDE織夢data目錄下的sessions文件夾有什