Linux系统文件的默认权限和特殊权限

默认权限 umask

[root@CentOS7 data]# touch file1 ; ll file1
-rw-r--r--. 1 root root 0 Oct 9 13:55 file1
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-xr-x. 2 root root 6 Oct 9 13:55 dir1

umask是什么

从上面的例子中可以发现,新建文件和目录的默认权限分别是644、755,为啥会这样?这就要聊聊umask了,Linux系统中默认的umask值是022,它直接影响了用户创建的文件或目录的默认权限,它与chmod的效果刚好相反,umask是将文件的对应权限位遮掩住,或者说是从文件的对应权限位“拿走”相关权限,而chmod是给文件赋予相关权限。

如何计算umask值

在Linux系统中,目录最大的权限是777,文件最大的权限是666,因为基于安全原因,新建的文件不允许有执行权限,所以从文件的权限位来看,文件比目录少了执行(x)权限。

下面来设置不同的umask值并创建文件:

[root@CentOS7 data]# umask 222
[root@CentOS7 data]# touch file1 ; ll file1
-r--r--r-- 1 root root 0 Sep 30 16:41 file1

可以发现用666减去222就得到了444,但真的是这样计算吗?来看看下面的这个例子:

[root@CentOS7 data]# umask 123
[root@CentOS7 data]# touch file2 ; ll file2
-rw-r--r-- 1 root root 0 Sep 30 16:48 file2

[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drw-r-xr-- 2 root root 6 Sep 30 16:49 dir1

从结果中可以发现新建的文件权限并不是666-123=543,而是644,而目录的权限却是正常减出来的值777-123=654,这是为啥呢?我们把文件的最大值666和umask值123转换成二进制对位展开来看下:

110 110 110-->666(文件最大权限值)
001 010 011-->123(umask值)
110 100 100-->644(新建文件的权限) 

从结果来看就验证了前面说的“umask是将文件的对应权限位遮掩住”,1表示遮掩,0则反之。

为了方便记忆可以用下面的这种计算方法:

目录:默认权限是777减去umask值的结果

文件:默认权限是666减去umask值,权限位对应的值如果为奇数则加1,例如:666-123=543,其结果是644。

umask的使用方法

临时生效:umask 022

永久生效:~/.bashrc(用户设置,推荐),/etc/bashrc(全局设置)

有时候需要给新建的文件一个非常严格的权限,比如000,可以使用以下方法:

[root@CentOS7 data]# umask 666 ; touch file3
[root@CentOS7 data]# ll file3
---------- 1 root root 0 Sep 30 22:26 file3
[root@CentOS7 data]# umask
0666
or
[root@CentOS7 data]# touch file4 ; chmod 000 file4
[root@CentOS7 data]# ll file4
---------- 1 root root 0 Sep 30 22:33 file4

以上两种方法虽然都能实现创建一个000权限的新文件,但是看起来都挺繁琐的,尤其是前面的方法。如果只是临时设置一下umask值,可以用下面这个方法:

[root@CentOS7 data]# (umask 666 ; touch file5)
[root@CentOS7 data]# ll file5
---------- 1 root root 0 Sep 30 22:42 file5
[root@CentOS7 data]# umask
0022

这种方式只是临时的改一下umask值,而不会改变当前的umask值。

特殊权限 suid sgid sticky

suid

功能:作用于可执行的二进制程序,用户执行此程序时,将继承此程序所有者的权限。
一般情况下,文件能不能访问取决于用户的身份,而不是取决于文件本身。但是,有了suid权限的文件就不是这么一回事了,最明显的就是/etc/shadow这个文件。我们都知道这个文件是用来保存用户密码的,默认情况下,普通用户对此文件没有任何权限,但是当用户执行passwd这个二进制程序时却能更改口令,同时也会将加密后的密码保存到文件中,这正是passwd这个二进制程序的特殊权限所在。

[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:18 /etc/shadow
[hechunping@CentOS7 ~]$ passwd
Changing password for user hechunping.
Changing password for hechunping.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:23 /etc/shadow

从上面的执行结果中可以发现/etc/shadow文件的权限为000,但是普通用户hechunping却依然可以执行passwd命令来更改自己的口令,也就是说这个文件的内容也被更改了,不过从文件的权限来看是没法更改的,这是怎么回事呢?这就是由于suid权限导致的,可以通过查看/usr/bin/passwd这个可执行文件的权限来分析:

[root@CentOS7 data]# ll `which passwd`
-rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd

可以看到这个可执行的文件所有者段有个“s”,这就代表着suid这个特殊权限,它的作用就是当用户去执行这个程序的时候会继承所有者的权限,所以普通用户hechunping也能更改自己的口令。

sgid

功能:

作用于可执行的二进制程序,用户执行此程序时,将继承此程序所属组的权限。

作用于目录,在此目录中新建文件和目录的所属组将自动继承父目录的所属组。

测试1:当目录的属组为当前用户的主组时,目录下新建文件的所属组也是当前用户的主组;

[root@CentOS7 data]# ll /data/ -d
drwxr-xr-x 2 root root 19 Oct 1 13:18 /data/
[root@CentOS7 data]# touch test1 ; ll test1
-rw-r--r-- 1 root root 0 Oct 1 13:19 test1

测试2:更改目录的属组为其它组,目录下新建文件的所属组依然是当前用户的主组;

[root@CentOS7 data]# chgrp hechunping /data/ ; ll /data/ -d
drwxr-xr-x 2 root hechunping 32 Oct 1 13:19 /data/
[root@CentOS7 data]# touch test2 ; ll test2
-rw-r--r-- 1 root root 0 Oct 1 13:20 test2

测试3:当目录具有sgid权限时,目录下新建文件和目录的所属组自动继承了父目录的所属组。

[root@CentOS7 data]# chmod g+s /data/ ; ll /data/ -d
drwxr-sr-x 2 root hechunping 45 Oct 1 13:20 /data/
[root@CentOS7 data]# touch test3 ; ll test3
-rw-r--r-- 1 root hechunping 0 Oct 1 13:21 test3
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-sr-x 2 root hechunping 6 Oct 1 13:23 dir1
sticky

功能:作用于目录,该目录下的文件只有文件所有者或root才能删除。

测试1:给/data目录777权限,root在该目录下新建的文件普通用户hechunping能删除

[root@CentOS7 data]# chmod 777 /data/ ; ll /data/ -d
drwxrwxrwx 2 root root 6 Oct 1 13:56 /data/
[root@CentOS7 data]# touch file1
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct 1 13:52:22 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file1
[hechunping@CentOS7 ~]$ ls /data/
[hechunping@CentOS7 ~]$ exit
logout

测试2:给/data目录设置了sticky权限后,普通用户hechunping无法删除该目录root用户的文件,但是可以删除自己的文件。

[root@CentOS7 data]# chmod o+t /data/ ; ll /data/ -d
drwxrwxrwt 2 root root 6 Oct 1 13:57 /data/
[root@CentOS7 data]# touch file2
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct 1 13:56:57 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file2
rm: cannot remove ‘/data/file2': Operation not permitted
[hechunping@CentOS7 ~]$ ll /data/
total 0
-rw-r--r-- 1 root root 0 Oct 1 13:58 file2

ps:在Linux系统中/tmp目录默认就设置了sticky权限

设定文件特定属性

虽然说权限是给普通用户设置的,但是有些文件设置了特殊属性后,root也无法进行删除、更改等操作,通过chattr命令来实现。

chattr

更改Linux文件系统上的文件属性

【例1】通过chattr命令来设置文件的属性,实现无法删除、更改内容和重命名操作:

[root@CentOS7 data]# touch file1 ; chattr +i file1
[root@CentOS7 data]# rm -rf file1
rm: cannot remove ‘file1': Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1' to ‘file1.bak': Operation not permitted
[root@CentOS7 data]# echo "hello" >> file1
-bash: file1: Permission denied

【例2】通过chattr命令来设置文件的属性,实现只能追加内容的操作:

[root@CentOS7 data]# touch file1;chattr +a file1
[root@CentOS7 data]# echo "hello" >> file1
[root@CentOS7 data]# > file1
-bash: file1: Operation not permitted
[root@CentOS7 data]# rm -rf file1
rm: cannot remove ‘file1': Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1' to ‘file1.bak': Operation not permitted
[root@CentOS7 data]# echo "world" >> file1

【例3】列出文件的特定属性

[root@CentOS7 data]# lsattr file1
-----a---------- file1

ps:如果要去掉用chattr设定的特定属性,把“+”换成“-”即可。

总结

以上所述是小编给大家介绍的Linux系统文件的默认权限和特殊权限,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!

(0)

相关推荐

  • Linux中特殊权限SUID、SGID与SBIT的深入讲解

    前言 对于linux中文件或目录的权限,应该都知道普通的rwx权限(关于linux中rwx权限的看我的这篇博文http://www.cnblogs.com/javaee6/p/3994750.html).我们先看看下面两个的权限是什么 非常奇怪,/tmp目录和 passwd文件的权限怎么怪怪的,怎么有s和t权限呢.看了下面的内容你就明白了. setuid 和 setgid 分别是 set uid ID upon execution 和 set group ID upon execution 的缩

  • linux文件目录默认权限(详解)

    1.文件的默认权限是没有x的,即文件的最大默认权限为666(-rw-rw-rw) 2.由于进入目录和目录的x权限有关,故目录的最大默认权限为777(drwxrwxrwx) 查看默认权限需要使用umask命令: [123@123 ~]$ umask           //数字方式显示 0022 [123@123 ~]$ umask -S        //符号方式显示 u=rwx,g=rx,o=rx以数字范式显示有4个数字,只看后3个即可,第一个为特殊权限使用 [123@123 ~]$ touc

  • linux基础教程之特殊权限SUID、SGID和SBIT

    前言 对于linux中文件或目录的权限,应该都知道普通的rwx权限.Linux的权限不是很细致,只有RWX三种 r(Read,读取):对文件而言,具有读取文件内容的权限:对目录来说,具有浏览目录的权限. w(Write,写入):对文件而言,具有新增,修改,删除文件内容的权限:对目录来说,具有新建,删除,修改,移动目录内文件的权限. x(eXecute,执行):对文件而言,具有执行文件的权限:对目录了来说该用户具有进入目录的权限. 1.目录的只读访问不允许使用cd进入目录,必须要有执行的权限才能进

  • Linux系统文件的默认权限和特殊权限

    默认权限 umask [root@CentOS7 data]# touch file1 ; ll file1 -rw-r--r--. 1 root root 0 Oct 9 13:55 file1 [root@CentOS7 data]# mkdir dir1 ; ll dir1 -d drwxr-xr-x. 2 root root 6 Oct 9 13:55 dir1 umask是什么 从上面的例子中可以发现,新建文件和目录的默认权限分别是644.755,为啥会这样?这就要聊聊umask了,L

  • Linux(ubuntu)下实现增加/删除文件权限

    [权限篇] ubuntu系统中,对于不同用户及不同用户组中用户对文件的操作权限都不相同,通过控制台我们可以快速的对文件权限进行操作. 对于修改权限可以使用两种方案来更改其权限,下面认识一下文件系统权限的组成: 文件权限查看: 1.查看文件权限命令:         ls -lh  [option:文件名] 2.查看文件夹权限命令    ls -ld  [option:文件夹名] 例:-rw-r--r-- 解释:-(代表类型)×××(所有者)×××(组用户)×××(其他用户) 方案一: 下面使用

  • linux操作系统下配置ssh/sftp和权限设置方法

    基于 ssh 的 sftp 服务相比 ftp 有更好的安全性(非明文帐号密码传输)和方便的权限管理(限制用户的活动目录). 1.开通 sftp 帐号,使用户只能 sftp 操作文件, 而不能 ssh 到服务器 2.限定用户的活动目录,使用户只能在指定的目录下活动,使用 sftp 的 ChrootDirectory 配置 确定版本 #确保 ssh 的版本高于 4.8p1 否则升级一下 一般都高于这个版本 ssh -V 新建用户和用户组 #添加用户组 sftp groupadd sftp #添加用户

  • 关于linux权限s权限和t权限详解

    常用权限 linux系统内有档案有三种身份 u:拥有者  g:群组   o:其他人 这些身份对于文档常用的有下面权限: r:读权限,用户可以读取文档的内容,如用cat,more查看 w:写权限,用户可以编辑文档 x:该目录具有可以被系统执行的权限 其他权限 除了读写执行权限外系统还支持强制位(s权限)和粘滞位(t权限) s权限 s权限: 设置使文件在执行阶段具有文件所有者的权限,相当于临时拥有文件所有者的身份. 典型的文件是passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获

  • 查看postgresql数据库用户系统权限、对象权限的方法

    PostgreSQL简介 PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),是以加州大学计算机系开发的POSTGRES,4.2版本为基础的对象关系型数据库管理系统.POSTGRES的许多领先概念只是在比较迟的时候才出现在商业网站数据库中.PostgreSQL支持大部分的SQL标准并且提供了很多其他现代特性,如复杂查询.外键.触发器.视图.事务完整性.多版本并发控制等.同样,PostgreSQL也可以用许多方法扩展,例如通过增加新的数据类型.函数.操作符

  • linux修改tomcat默认访问项目的具体步骤(必看篇)

    tomcat服务器的默认访问路径是webapps目录下的ROOT.如果更改tomcat服务器下的默认访问工程,需要修改tomcat/conf/server.xml配置文件. 打开server.xml可以找到类似下面的配置: <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="fal

  • Android 6.0以上权限拒绝打开权限设置界面的解决方法

    本人使用小米手机,打开qq或者微信的时候,某个权限拒绝的话,会提示你开启,点击开启会跳转到app的权限设置界面,当然了,这是国内系统深层定制的原因,也就是说这个界面原声的android没有的!这里以小米和魅族作为示例讲解如何让用户手动打开权限,当然了如果是原声的android就让他跳转到应用的详情设置页面(有点坑,因为普通用户还是不知道怎么整). 参考了很多零零碎碎的东西,网址已经找不到了...... ok,第一步是跳转到系统的界面,下面基本上可以从9开始考虑了,可以简化. String SCH

  • 阿里云OSS访问权限配置(RAM权限控制)实现

    场景 需要将阿里云oss的某个bucket的指定目录授权给测试人员使用,比如指定 myBuket 的 static/material/ 目录. 测试人员通过ossbrowser工具来维护这个目录. 步骤 新建用户 在RAM访问控制中新建一个用户 为这个用户创建AccessKey 自定义权限策略 输入名称.备注.选择"脚本配置",通过自己写脚本来配置权限 脚本内容如下: { "Version": "1", "Statement"

  • Android申请相机权限和读写权限实例

    开发一个相机应用,需要申请三个权限:相机.读文件.写文件. 1.在AndroidManifest.xml中添加 <uses-permission android:name="android.permission.CAMERA"/> <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> <uses-permission android:name

  • vue路由权限和按钮权限的实现示例

    目录 一 菜单路由权限 二 按钮权限的实现 一 菜单路由权限 1.1前端路由配置表 1.2后端数据返回 1.3 拿到数据后存到vuex 1.4 扁平化的目的是为了跳转路由时进行对比权限 //扁平化方法 flatten(data) { return data.reduce((arr,{name,id,resourceType,dimensionTypeCode,btnPermissions,path,children = [],}) => arr.concat([{name,id,resource

随机推荐