Linux系統文件的默認權限和特殊權限

默認權限 umask

[root@CentOS7 data]# touch file1 ; ll file1
-rw-r--r--. 1 root root 0 Oct  9 13:55 file1
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-xr-x. 2 root root 6 Oct  9 13:55 dir1

umask是什麼

從上面的例子中能夠發現，新建文件和目錄的默認權限分別是64四、755，爲啥會這樣？這就要聊聊umask了，Linux系統中默認的umask值是022，它直接影響了用戶建立的文件或目錄的默認權限，它與chmod的效果恰好相反，umask是將文件的對應權限位遮掩住，或者說是從文件的對應權限位「拿走」相關權限，而chmod是給文件賦予相關權限。

如何計算umask值

在Linux系統中，目錄最大的權限是777，文件最大的權限是666，由於基於安全緣由，新建的文件不容許有執行權限，因此從文件的權限位來看，文件比目錄少了執行（x）權限。
下面來設置不一樣的umask值並建立文件：

[root@CentOS7 data]# umask 222
[root@CentOS7 data]# touch file1 ; ll file1
-r--r--r-- 1 root root 0 Sep 30 16:41 file1

能夠發現用666減去222就獲得了444，但真的是這樣計算嗎？來看看下面的這個例子：

[root@CentOS7 data]# umask 123
[root@CentOS7 data]# touch file2 ; ll file2
-rw-r--r-- 1 root root 0 Sep 30 16:48 file2

[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drw-r-xr-- 2 root root 6 Sep 30 16:49 dir1

從結果中能夠發現新建的文件權限並非666-123=543，而是644，而目錄的權限倒是正常減出來的值777-123=654，這是爲啥呢？咱們把文件的最大值666和umask值123轉換成二進制對位展開來看下：

110 110 110-->666（文件最大權限值）  
001 010 011-->123（umask值）  
110 100 100-->644（新建文件的權限）

從結果來看就驗證了前面說的「umask是將文件的對應權限位遮掩住」，1表示遮掩，0則反之。

爲了方便記憶能夠用下面的這種計算方法：
目錄：默認權限是777減去umask值的結果
文件：默認權限是666減去umask值，權限位對應的值若是爲奇數則加1，例如：666-123=543，其結果是644。

umask的使用方法

臨時生效：umask 022
永久生效：~/.bashrc（用戶設置，推薦），/etc/bashrc（全局設置）

有時候須要給新建的文件一個很是嚴格的權限，好比000，可使用如下方法：

[root@CentOS7 data]# umask 666 ; touch file3
[root@CentOS7 data]# ll file3
---------- 1 root root 0 Sep 30 22:26 file3
[root@CentOS7 data]# umask
0666
or
[root@CentOS7 data]# touch file4 ; chmod 000 file4
[root@CentOS7 data]# ll file4
---------- 1 root root 0 Sep 30 22:33 file4

以上兩種方法雖然都能實現建立一個000權限的新文件，可是看起來都挺繁瑣的，尤爲是前面的方法。若是隻是臨時設置一下umask值，能夠用下面這個方法：

[root@CentOS7 data]# (umask 666 ; touch file5)
[root@CentOS7 data]# ll file5
---------- 1 root root 0 Sep 30 22:42 file5
[root@CentOS7 data]# umask
0022

這種方式只是臨時的改一下umask值，而不會改變當前的umask值。

特殊權限 suid sgid sticky

suid

功能：做用於可執行的二進制程序，用戶執行此程序時，將繼承此程序全部者的權限。

通常狀況下，文件能不能訪問取決於用戶的身份，而不是取決於文件自己。可是，有了suid權限的文件就不是這麼一回事了，最明顯的就是/etc/shadow這個文件。咱們都知道這個文件是用來保存用戶密碼的，默認狀況下，普通用戶對此文件沒有任何權限，可是當用戶執行passwd這個二進制程序時卻能更改口令，同時也會將加密後的密碼保存到文件中，這正是passwd這個二進制程序的特殊權限所在。

[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:18 /etc/shadow
[hechunping@CentOS7 ~]$ passwd
Changing password for user hechunping.
Changing password for hechunping.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:23 /etc/shadow

從上面的執行結果中能夠發現/etc/shadow文件的權限爲000，可是普通用戶hechunping卻依然能夠執行passwd命令來更改本身的口令，也就是說這個文件的內容也被更改了，不過從文件的權限來看是無法更改的，這是怎麼回事呢？這就是因爲suid權限致使的，能夠經過查看/usr/bin/passwd這個可執行文件的權限來分析：

[root@CentOS7 data]# ll `which passwd`
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd

能夠看到這個可執行的文件全部者段有個「s」，這就表明着suid這個特殊權限，它的做用就是當用戶去執行這個程序的時候會繼承全部者的權限，因此普通用戶hechunping也能更改本身的口令。

sgid

功能：

做用於可執行的二進制程序，用戶執行此程序時，將繼承此程序所屬組的權限。

做用於目錄，在此目錄中新建文件和目錄的所屬組將自動繼承父目錄的所屬組。

測試1：當目錄的屬組爲當前用戶的主組時，目錄下新建文件的所屬組也是當前用戶的主組；
[root@CentOS7 data]# ll /data/ -d
drwxr-xr-x 2 root root 19 Oct  1 13:18 /data/
[root@CentOS7 data]# touch test1 ; ll test1
-rw-r--r-- 1 root root 0 Oct  1 13:19 test1

測試2：更改目錄的屬組爲其它組，目錄下新建文件的所屬組依然是當前用戶的主組；
[root@CentOS7 data]# chgrp hechunping /data/ ; ll /data/ -d
drwxr-xr-x 2 root hechunping 32 Oct  1 13:19 /data/
[root@CentOS7 data]# touch test2 ; ll test2
-rw-r--r-- 1 root root 0 Oct  1 13:20 test2

測試3：當目錄具備sgid權限時，目錄下新建文件和目錄的所屬組自動繼承了父目錄的所屬組。
[root@CentOS7 data]# chmod g+s /data/ ; ll /data/ -d
drwxr-sr-x 2 root hechunping 45 Oct  1 13:20 /data/
[root@CentOS7 data]# touch test3 ; ll test3
-rw-r--r-- 1 root hechunping 0 Oct  1 13:21 test3
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-sr-x 2 root hechunping 6 Oct  1 13:23 dir1

sticky

功能：做用於目錄，該目錄下的文件只有文件全部者或root才能刪除。

測試1：給/data目錄777權限，root在該目錄下新建的文件普通用戶hechunping能刪除
[root@CentOS7 data]# chmod 777 /data/ ; ll /data/ -d 
drwxrwxrwx 2 root root 6 Oct  1 13:56 /data/
[root@CentOS7 data]# touch file1
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct  1 13:52:22 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file1 
[hechunping@CentOS7 ~]$ ls /data/
[hechunping@CentOS7 ~]$ exit
logout

測試2：給/data目錄設置了sticky權限後，普通用戶hechunping沒法刪除該目錄root用戶的文件，可是能夠刪除本身的文件。
[root@CentOS7 data]# chmod o+t /data/ ; ll /data/ -d
drwxrwxrwt 2 root root 6 Oct  1 13:57 /data/
[root@CentOS7 data]# touch file2 
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct  1 13:56:57 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file2 
rm: cannot remove ‘/data/file2’: Operation not permitted
[hechunping@CentOS7 ~]$ ll /data/
total 0
-rw-r--r-- 1 root root 0 Oct  1 13:58 file2

ps：在Linux系統中/tmp目錄默認就設置了sticky權限

設定文件特定屬性

雖說權限是給普通用戶設置的，可是有些文件設置了特殊屬性後，root也沒法進行刪除、更改等操做，經過chattr命令來實現。

chattr

更改Linux文件系統上的文件屬性

【例1】經過chattr命令來設置文件的屬性，實現沒法刪除、更改內容和重命名操做：

[root@CentOS7 data]# touch file1 ; chattr +i file1
[root@CentOS7 data]# rm -rf file1 
rm: cannot remove ‘file1’: Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1’ to ‘file1.bak’: Operation not permitted
[root@CentOS7 data]# echo "hello" >> file1 
-bash: file1: Permission denied

【例2】經過chattr命令來設置文件的屬性，實現只能追加內容的操做：

[root@CentOS7 data]# touch file1;chattr +a file1
[root@CentOS7 data]# echo "hello" >> file1 
[root@CentOS7 data]# > file1 
-bash: file1: Operation not permitted
[root@CentOS7 data]# rm -rf file1 
rm: cannot remove ‘file1’: Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1’ to ‘file1.bak’: Operation not permitted
[root@CentOS7 data]# echo "world" >> file1

【例3】列出文件的特定屬性

[root@CentOS7 data]# lsattr file1 
-----a---------- file1

ps：若是要去掉用chattr設定的特定屬性，把「+」換成「-」便可。