02-2508:39阅读665

关注

Linux文件的默认权限和特殊权限

这篇文章主要介绍了Linux系统文件的默认权限和特殊权限的相关知识，十分不错，具有一定的参考借鉴价值,须要的同学可以参考下

默认权限umask

1

2

3

4

[root@CentOS7data]#touchfile1;llfile1

-rw-r--r--.1rootroot0Oct913:55file1

[root@CentOS7data]#mkdirdir1;lldir1-d

drwxr-xr-x.2rootroot6Oct913:55dir1

umask是哪些

从前面的事例中可以发觉，新建文件和目录的默认权限分别是644、755，为什么会这样？这就要说说umask了，Linux系统中默认的umask值是022linux启动盘制作工具，它直接影响了用户创建的文件或目录的默认权限，它与chmod的疗效正好相反，umask是将文件的对应权限位遮掩住，或则说是从文件的对应权限位“拿走”相关权限，而chmod是给文件赋于相关权限。

怎么估算umask值

在Linux系统中，目录最大的权限是777，文件最大的权限是666文件的权限 linux，由于基于安全缘由，新建的文件不容许有执行权限，所以从文件的权限位来看，文件比目录少了执行（x）权限。

下边来设置不同的umask值并创建文件：

1

2

3

[root@CentOS7data]#umask222

[root@CentOS7data]#touchfile1;llfile1

-r--r--r--1rootroot0Sep3016:41file1

可以发觉用666乘以222就得到了444，但真的是这样估算吗？来瞧瞧下边的这个事例：

1

2

3

4

5

6

[root@CentOS7data]#umask123

[root@CentOS7data]#touchfile2;llfile2

-rw-r--r--1rootroot0Sep3016:48file2

[root@CentOS7data]#mkdirdir1;lldir1-d

drw-r-xr--2rootroot6Sep3016:49dir1

从结果中可以发觉新建的文件权限并不是666-123=543，而是644，而目录的权限却是正常减下来的值777-123=654，这是为什么呢？我们把文件的最大值666和umask值123转换成二补码对位展开来看下：

1

2

3

110110110-->666（文件最大权限值）

001010011-->123（umask值）

110100100-->644（新建文件的权限）

从结果来看就验证了上面说的“umask是将文件的对应权限位遮掩住”，1表示遮掩，0则反之。

为了便捷记忆可以用下边的这些估算方式：

目录：默认权限是777除以umask值的结果

文件：默认权限是666除以umask值，权限位对应的值假如为质数则加1，比如：666-123=543，其结果是644。

umask的使用方式

临时生效：umask022

永久生效：~/.bashrc（用户设置，推荐），/etc/bashrc（全局设置）

有时侯须要给新建的文件一个特别严格的权限，例如000，可以使用以下方式：

1

2

3

4

5

6

7

8

9

[root@CentOS7data]#umask666;touchfile3

[root@CentOS7data]#llfile3

----------1rootroot0Sep3022:26file3

[root@CentOS7data]#umask

0666

or

[root@CentOS7data]#touchfile4;chmod000file4

[root@CentOS7data]#llfile4

----------1rootroot0Sep3022:33file4

以上两种方式其实都能实现创建一个000权限的新文件，并且看上去都挺冗长的，尤其是上面的方式。假如只是临时设置一下umask值，可以用下边这个方式：

1

2

3

4

5

[root@CentOS7data]#(umask666;touchfile5)

[root@CentOS7data]#llfile5

----------1rootroot0Sep3022:42file5

[root@CentOS7data]#umask

0022

这些方法只是临时的改一下umask值，而不会改变当前的umask值。

特殊权限suidsgidsticky

suid

功能：作用于可执行的二补码程序，用户执行此程序时，将承继此程序所有者的权限。

通常情况下，文件能不能访问取决于用户的身分，而不是取决于文件本身。并且，有了suid权限的文件就不是那么一回事了，最显著的就是/etc/shadow这个文件。我们都晓得这个文件是拿来保存用户密码的，默认情况下，普通用户对此文件没有任何权限，而且当用户执行passwd这个二补码程序时却能更改口令，同时也会将加密后的密码保存到文件中，这正是passwd这个二补码程序的特殊权限所在。

1

2

3

4

5

6

7

8

9

10

11

[hechunping@CentOS7~]$ll/etc/shadow

----------1rootroot1271Sep3023:18/etc/shadow

[hechunping@CentOS7~]$passwd

Changingpasswordforuserhechunping.

Changingpasswordforhechunping.

(current)UNIXpassword:

Newpassword:

Retypenewpassword:

passwd:allauthenticationtokensupdatedsuccessfully.

[hechunping@CentOS7~]$ll/etc/shadow

----------1rootroot1271Sep3023:23/etc/shadow

从里面的执行结果中可以发觉/etc/shadow文件的权限为000，而且普通用户hechunping却仍然可以执行passwd来修改自己的口令，也就是说这个文件的内容也被修改了，不过从文件的权限来看是无法修改的，这是如何回事呢？这就是因为suid权限造成的，可以通过查看/usr/bin/passwd这个可执行文件的权限来剖析：

1

2

[root@CentOS7data]#ll`whichpasswd`

-rwsr-xr-x.1rootroot27832Jun102014/usr/bin/passwd

可以看见这个可执行的文件所有者段有个“s”，这就代表着suid这个特殊权限，它的作用就是当用户去执行这个程序的时侯会承继所有者的权限，所以普通用户hechunping也能修改自己的口令。

sgid

功能：

作用于可执行的二补码程序，用户执行此程序时，将承继此程序所属组的权限。

作用于目录，在此目录中新建文件和目录的所属组将手动承继父目录的所属组。

测试1：当目录的属组为当前用户的主组时文件的权限 linux，目录下新建文件的所属组也是当前用户的主组；

1

2

3

4

[root@CentOS7data]#ll/data/-d

drwxr-xr-x2rootroot19Oct113:18/data/

[root@CentOS7data]#touchtest1;lltest1

-rw-r--r--1rootroot0Oct113:19test1

测试2：修改目录的属组为其它组，目录下新建文件的所属组仍然是当前用户的主组；

1

2

3

4

[root@CentOS7data]#chgrphechunping/data/;ll/data/-d

drwxr-xr-x2roothechunping32Oct113:19/data/

[root@CentOS7data]#touchtest2;lltest2

-rw-r--r--1rootroot0Oct113:20test2

测试3：当目录具有sgid权限时，目录下新建文件和目录的所属组手动承继了父目录的所属组。

1

2

3

4

5

6

7

[root@CentOS7data]#chmodg+s/data/;ll/data/-d

drwxr-sr-x2roothechunping45Oct113:20/data/

[root@CentOS7data]#touchtest3;lltest3

-rw-r--r--1roothechunping0Oct113:21test3

[root@CentOS7data]#mkdirdir1;lldir1-d

drwxr-sr-x2roothechunping6Oct113:23dir1

sticky

功能：作用于目录，该目录下的文件只有文件所有者或root能够删掉。

测试1：给/data目录777权限，root在该目录下新建的文件普通用户hechunping能删掉

1

2

3

4

5

6

7

8

9

[root@CentOS7data]#chmod777/data/;ll/data/-d

drwxrwxrwx2rootroot6Oct113:56/data/

[root@CentOS7data]#touchfile1

[root@CentOS7data]#su-hechunping

Lastlogin:TueOct113:52:22CST2019onpts/0

[hechunping@CentOS7~]$rm-rf/data/file1

[hechunping@CentOS7~]$ls/data/

[hechunping@CentOS7~]$exit

logout

测试2：给/data目录设置了sticky权限后，普通用户hechunping未能删掉该目录root用户的文件linux教程下载，而且可以删掉自己的文件。

1

2

3

4

5

6

7

8

9

10

[root@CentOS7data]#chmodo+t/data/;ll/data/-d

drwxrwxrwt2rootroot6Oct113:57/data/

[root@CentOS7data]#touchfile2

[root@CentOS7data]#su-hechunping

Lastlogin:TueOct113:56:57CST2019onpts/0

[hechunping@CentOS7~]$rm-rf/data/file2

rm:cannotremove‘/data/file2':Operationnotpermitted

[hechunping@CentOS7~]$ll/data/

total0

-rw-r--r--1rootroot0Oct113:58file2

ps：在Linux系统中/tmp目录默认就设置了sticky权限

设定文件特定属性

尽管说权限是给普通用户设置的，并且有些文件设置了特殊属性后，root也难以进行删掉、更改等操作，通过chattr来实现。

chattr

修改Linux文件系统上的文件属性

【例1】通过chattr来设置文件的属性，实现难以删掉、更改内容和重命名操作：

1

2

3

4

5

6

7

[root@CentOS7data]#touchfile1;chattr+ifile1

[root@CentOS7data]#rm-rffile1

rm:cannotremove‘file1':Operationnotpermitted

[root@CentOS7data]#mvfile1file1.bak

mv:cannotmove‘file1'to‘file1.bak':Operationnotpermitted

[root@CentOS7data]#echo"hello">>file1

-bash:file1:Permissiondenied

【例2】通过chattr命令来设置文件的属性，实现只能追加内容的操作：

1

2

3

4

5

6

7

8

9

[root@CentOS7data]#touchfile1;chattr+afile1

[root@CentOS7data]#echo"hello">>file1

[root@CentOS7data]#>file1

-bash:file1:Operationnotpermitted

[root@CentOS7data]#rm-rffile1

rm:cannotremove‘file1':Operationnotpermitted

[root@CentOS7data]#mvfile1file1.bak

mv:cannotmove‘file1'to‘file1.bak':Operationnotpermitted

[root@CentOS7data]#echo"world">>file1

【例3】列出文件的特定属性

1

2

[root@CentOS7data]#lsattrfile1

-----a----------file1

ps：假如要除去用chattr设定的特定属性，把“+”换成“-”即可。

总结

以上所述是小编给你们介绍的Linux系统文件的默认权限和特殊权限,希望对你们有所帮助

本文原创地址：//gulass.cn/lxtzmrduzsws.html编辑：刘遄，审核员：暂无