【Linux进阶】文件和目录的默认权限与隐藏权限

1.文件默认权限:umask

        OK,那么现在我们知道如何建立或是改变一个目录或文件的属性了,不过,你知道当你建立一个新的文件或目录时,它的默认权限会是什么吗?

        呵呵,那就与umask这个玩意儿有关了,那么umask是在做什么?

        基本上,umask就是指定目前用户在建立文件或目录时候的权限默认值,那么如何得知或设置umask?它的指定条件以下面的方式来指定:

查看的方式有两种,

  • 一种可以直接输入umask,就可以看到数字类型的权限设置值,
  • 一种则是加入 -S(Symbolic)这个选项,就会以符号类型的方式来显示出权限了。

奇怪的是,怎么umask 会有四组数字?不是只有三组吗?

是没错,第一组是特殊权限用的,我们先不要理它,所以先看后面三组即可。

        在默认权限的属性上,目录与文件是不一样的,从我们知道X权限对于目录是非常重要的。但是一般文件的建立则不应该有执行的权限,因为一般文件通常是用于数据的记录,当然不需要执行的权限了。

因此,默认的情况如下:

  • 若用户建立为文件则默认没有可执行(x)权限,即只有rw 这两个项目,也就是最大为666,默认权限如下:
-rw-rw-rw-
  • 若用户建立为目录,则由于x与是否可以进入此目录有关,因此默认为所有权限均开放,即777,默认权限如下:
drwxrwxrwx

要注意的是,umask的数字指的是该默认值需要减掉的权限。

因为r、w、x分别是4(二进制:100)、2(二进制:010)、1(二进制:001),所以,当要拿掉能写的权限,就是输入2(二进制:010);

  1. 而如果要拿掉能读的权限,也就是4(二进制:100);
  2. 那么要拿掉读与写的权限,也就是6(二进制:110)
  3. 而要拿掉执行与写入的权限,也就是3(二进制:011)。

这样了解吗?请问你,5(二进制:101)是什么?呵呵,就是读与执行的权限。

如果以上面的例子来说明的话,因为umask为022,所以user并没有被拿掉任何权限,不过group
与others 的权限被拿掉了2(也就是w这个权限),那么当用户:

  • 建立文件时:(-rw-rw-rw-)  -  (-----w--w-) =    -rw-r--r--
  • 建立目录时:(drwxrwxrwx)  -  (d----w--w-) = drwxr-xr-x

不相信吗?我们就来测试看看吧!


呵呵,看见了吧!确定新建文件的权限是没有错的。

1.1.umask 的利用与重要性:课题制作

        想象一个状况,如果你跟你的同学在同一台主机里面工作时,因为你们两个正在进行同一个课题,老师也帮你们两个的账号建立好了相同用户组的状态,并且将 /home/class/目录做为你们两个人的单题目录。

        想象一下,有没有可能你所制作的文件你的同学无法编辑?果真如此的话,那就伤脑筋了。这个问题经常发生。举上面的案例来看,你看一下 test1 的权限数值是什么?644,意思是如辈umask 制定为022,那新建的数据只有用户自己具有w的权限,同用户组的人只有,这个可读的权厚而已,并无法修改。这样要怎么共同制作课题,您说是吧!

        所以,当我们需要新建文件给同用户组的用户共同编辑时,那么 umask 的用户组就不能拿掉2以个w的权限。所以,umask 就得是002之类的才可以。这样新建的文件才能够是 -rw-rw-r--限样式,那么如何设置umask呢?很简单,直接在umask后面输入002就好。

所以说,这个 umask 对于新建文件与目录的默认权限是很有关系的。

        这个概念可以用在任何服务器上面,尤其是未来在你搭建文件服务器(file server ),举例来说,SAMBA 服务器或是 FTP 服务差时,都是很重要的概念,这牵涉到你的用户是否能够将文件进一步利用的问题,不要等闲视之。

        关于umask 与权限的计算方式中,教科书喜欢使用二进制的方式来进行逻辑与和逻辑!否的计算,不过,我还是比较喜欢使用符号方式来计算,联想上面比较容易一点。

        但是,有的书籍或是BBS 上面的朋友,喜欢使用文件默认属性 666 与目录默认属性777来与umask 进行相减的计算,这是不好的。

如果使用默认属性相加减,则文件变成:666-003=663,即-rw-rw--wx,这可是完全不对的。

想想看,原本文件就已经去除x的默认的属性,怎么可能突然间冒出来了?所以,这个地方要特别小心。

        在默认的情况中,root的umask会拿掉比较多的属性,root 的umask 默认是022,这是基于安全的考虑,至于一般身份用户,通常它们的umask 为002,即保留同用户组的写入权力。其实,关于默认 umask的设置可以参考/etc/bashrc这个文件的内容,不过,不建议修改该文件,你可以参考第10章bash shell提到的环境参数配置文件(~/.bashrc)的说明。

2.文件隐藏属性

 什么?文件还有隐藏属性?光是那9个权限就快要疯掉了,竟然还有隐藏属性,真是要命,但是

没办法,就是有文件的隐藏属性存在。

        不过,这些隐藏的属性确实对于系统有很大的帮助的,尤其是在系统安全(Security)上面,非常的重要。

        不过要先强调的是,下面的chattr 命令只能在ext2、ext3、ext4的Linux传统文件系统上面完整生效,其他的文件系统可能就无法完整的支持这个命令了,例如Xfs 仅支持部分参数而已,下面我们就来谈一谈如何设置与检查这些隐藏的属性。

2.1.chattr(配置文件隐藏属性)

用法:

chattr[+-=][ASacdistu]文件或目录名称

选项与参数:

  • +:增加某一个特殊参数,其他原本存在参数则不动
  • -:删除某一个特殊参数,其他原本存在参数则不动
  • =:直接设置参数、且仅有后面接的参数.
  • A:当设置了A这个属性时,若你在存取此文件(或目录)时,它的存取时间atime将不会被修改,可避免I/O较慢的机器过度的读写磁盘。(目前建议使用文件系统挂载参数处理这个项目)
  • S:一般文件是非同步写入磁盘的(原理请参考前一章sync的说明),如果加上S这个属性时,当你进行任何文件的修改,该修改会【同步】写入磁盘中。
  • a:当设置a之后,这个文件将只能增加数据,而不能删除也不能修改数据,只有root 才能设置这属性。
  • c:这个属性设置之后,将会自动的将此文件【压缩】,在读取的时候将会自动解压缩,但是在存储的时候,将会先进行压缩后再存储(看来对于大文件似乎蛮有用的)。
  • d:当dump程序被执行的时候,设置d属性将可使该文件(或目录)不会被dump备份。
  • i:这个i可就很厉害了。它可以让一个文件【不能被删除、改名、设置链接也无法写入或新增数据。对于系统安全性有相当大的助益,只有root能设置此属性。
  • s:当文件设置了s属性时,如该文件被删除,它将会被完全的从硬盘删除,所以如果误删,完全无法恢复。
  • u:与s相反的,当使用u来配置文件时,如果该文件被删除了,则数据内容其实还存在磁盘中,可以使用来恢复该文件。
  1. 注意1:属性设置常见的是a与i的设置值,而且很多设置值必须要是root才能设置.
  2. 注意2:xfs文件系统仅支持Aadis而已。

范例:请尝试到/tmp下面建立文件,并加入主的参数,尝试删除看看.

加了i属性后就不能删除了!!!!!很震惊啊,不信的话我们举个反例

我嘞个豆,怎么样,明白了吗? 

我们请将该文件的i属性取消看看

去除了i权限,就能把它删除了!!! 

        这个命令是很重要的,尤其是在系统的数据安全上面。由于这些属性是隐藏的性质,所以需要以Isattr 才能看到该属性。

        其中,个人认为最重要的当属+i与+a这个属性了。+i可以让一个文件无法被修改,对于需要强烈的系统安全的人来说,真是相当的重要,里面还有相当多的属性是需要root才能设置的。

        此外,对于logfile 这样的日志文件,就更需要+a这个可以增加但是不能修改旧数据与删除的参数。

怎样?很棒吧!未来提到日志文件的认知时,我们再来聊一聊如何设置它。

2.2.Isattr(显示文件隐藏属性)

用法

 lsattr  [-adR]  文件或目录

选项与参数:

  • -a:将隐藏文件的属性也显示出来;
  • -d:如果接的是目录,仅列出目录本身的属性而非目录内的文件名;
  • -R:连同子目录的数据也一并列出来;

使用chattr设置后,可以利用Isattr 来查看隐藏的属性。

不过,这两个命令在使用上必须要特别小心,否则会造成很大的困扰。

例如:某天你心情好,突然将/etc/shadow 这个重要的密码记录文件设置成为具有i的属性,那么过了若干天之后,你突然要新增用户,却一直无法新增,别怀疑,赶快去将i的属性拿掉。


3.文件特殊权限:SUID、SGID、SBIT

        我们前面一直提到关于文件的重要权限,那就是r、w,x这三个读、写、执行的权限。但是,眼尖的朋友们一定注意到了一件事,那就是,怎么我们的/tmp权限怪怪的?还有,那个/usr/bin/passwd也怪怪的?怎么回事?先看看:

不是应该只有r、w、x吗?还有其他的特殊权限(s跟t)?

        头又开始头晕了,因为S与t这两个权限的意义与系统的账号及系统的进程管理较为相关,所以等到学完这些后你才会比较有概念。

下面的说明先看看就好,如果看不懂也没有关系,先知道 s放在那思称为SUID与SGID以及如何设置即可,等系统程序学完后,再回来看看。

3.1. Set UID

        当s这个标志出现在文件拥有者的x权限上时,例如刚刚提到的/usr/bin/passwd这个文件的权限状态:【-rwsr-xr-x】,此时就被称为SetUID,简称为SUID的特殊权限。

那么SUID的权限对于一个文件的特殊功能是什么?基本上SUID有这样的限制与功能:

  • SUID 权限仅对二进制程序(binary program)有效;
  • 执行者对于该程序需要具有x的可执行权限;
  • 本权限仅在执行该程序的过程中有效(run-time);
  • 执行者将具有该程序拥有者(owner)的权限。

讲这么生硬的东西你可能对于 SUID还是没有概念,没关系,我们举个例子来说明好了。

我们的Linux系统中,所有账号的密码都记录在/etc/shadow这个文件里面,这个文件的权限为:【--------- 1 root root 】,意思是这个文件仅有root可读且仅有root 可以强制写入而已。

        既然这个文件仅有root可以修改,那么这个bcq_113一般账号用户能否自行修改自己的密码?你可以使用你自己的账号输入【passwd】这个命令来看看,嘿嘿,一般用户当然可以修改自己的密码。

        唔,有没有冲突,明明/etc/shadow就不能让bcq_113这个一般账户去读写的,为什么bcq_113 还能够修改这个文件内的密码?这就是SUID的功能。

借由上述的功能说明,我们可以知道:

  1. bcq_113对于/usr/bin/passwd 这个程序来说是具有x的权限,表示bcq_113能执行 passwd;
  2. passwd 的拥有者是root这个账号;
  3. bcq_113执行passwd的过程中,会【暂时】获得root 的权限;
  4. /etc/shadow 就可以被bcq_113所执行的passwd所修改。

但如果bcq_113使用cat去读取/etc/shadow时,它能够读取吗?

        因为cat不具有SUID的权限,所以bcq_113执行【cat /etc/shadow】时,是不能读取/etc/shadow的。

我们用一张示意图来说明如下:


另外,SUID仅可用在二进制程序上,不能够用在shell 脚本上面。

这是因为shell脚本只是将很多的二进制执行文件调用执行而已。所以SUID的权限部分,还是要看shell 脚本调用进来的程序的设置,而不是shell脚本本身。

当然,SUID对于目录也是无效的,这点要特别留意。

3.2.Set GID

        当S标志在文件拥有者的x项为SUID,那s在用户组的x时则称为Set GID(SGID),是这样
没错,举例来说,你可以用下面的命令来观察到具有SGID权限的文件:

[root@study ~]#ls -l /usr/bin/locate
-rwx--s--x. 1 root solate 4049 Jun 10 2014 /usr/bin/locate


与SUID不同的是,SGID可以针对文件或目录来设置。

如果是对文件来说,SGID有如下的功能:

  • SGID 对二进制程序有用;
  • 程序执行者对于该程序来说,需具备x的权限;
  • 执行者在执行的过程中将会获得该程序用户组的支持。

举例来说,上面的/usr/bin/locate 这个程序可以去查找/var/ib/mlocate/mlocate.db这个文件的
内容(详细说明会在下节讲述),mlocate.db的权限如下:

[root@study ~] ll /usr/bin/locate /var/1ib/mlocate/mlocate.db
-rwx--s--x. 1 root slocate 40496   Jun 10 2014 /usr/bin/locate
-rw-r-----. 1 root slocate 2349055 Jun 15 03:44 /var/1ib/mlocate/mlocate.db

与SUID非常的类似,若我使用bcq_113 这个账号去执行locate时,那bcq_113 将会取得slocate
用户组的支持,因此就能够去读取mlocate.db,非常有趣吧!

除了二进制程序之外,事实上SGID 也能够用在目录中,这也是非常常见的一种用途。

当一个目录设置了SGID的权限后,它将具有如下的功能:

  • 用户若对于此目录具有r与x的权限时,该用户能够进入此目录;
  • 用户在此目录下的有效用户组(effective group)将会变成该目录的用户组;
  • 用途:若用户在此目录下具有 w的权限(可以新建文件),则用户所建立的新文件,该新文件的用户组与此目录的用户组相同。

SGID对于项目开发来说是非常重要的。因为这涉及用户组权限的问题,您可以参考一下本章后
续情境模拟的案例,应该就能够对于 SGID 有一些了解的。

3.3.Sticky Bit

这个Sticky Bit(SBIT)目前只针对目录有效,对于文件已经没有效果了,

SBIT对于目录的作用是:

  • 当用户对于此目录具有w、x权限,即具有写入的权限;
  • 当用户在该目录下建立文件或目录时,仅有自己与root才有权力删除该文件。

换句话说:当甲这个用户对于A目录具有用户组或其他人的身份,并且拥有该目录w的权限,这表示甲用户对该目录内任何人建立的目录或文件均可进行删除、更名、移动等操作。

        不过,如果将A目录加上了SBIT的权限选项时,则甲只能够针对自己建立的文件或目录进行删除、更名、移动等操作,而无法删除它人的文件。

        举例来说,我们的/tmp 本身的权限是【drwxrwxrwt 】,在这样的权限内容下,任何人都可以在/tmp内新增、修改文件,但仅有该文件/目录建立者与root 能够删除自己的目录或文件。这个特性也是挺重要的,你可以这样做个简单的测试:

  • 1.以root登录系统,并且进入/tmp当中;
  • 2. touch test,并且更改 test权限成为777;
  • 3.以一般用户登录,并进入/tmp;
  • 4.尝试删除test这个文件。

由于 SUID、SGID、SBIT 牵涉到程序的概念,因此再次强调,这部分的内容在您关于程序方面的知识后,要再次回来看。


3.4.SUID/SGID/SBIT权限设置

前面介绍过 SUID与SGID的功能,那么如何配置文件使成为具有SUID与SGID的权限?

这需要数字更改权限的方法了。

现在你应该已经知道数字形式更改权限的方式为【三个数字】的组合,那么如果在这三个数字之前再加上一个数字的话,最前面的那个数字就代表这几个权限了

  • 4为SUID
  • 2为SGID
  • 1为SBIT

        假设要将一个文件权限改为【-rwsr-xr-x】时,由于s在用户权限中,所以是SUID,因此,在原先的755之前还要加上4,也就是【chmod 4755 filename】来设置。此外,还有大S与大T的产生,参考下面的范例。

        注意:下面的范例只是练习而已,所以我使用同一个文件来设置,你必须了解SUID不是用在目录上,而 SBIT 不是用在文件上。

加入具有SUID的权限 

加入具有SUID/SGID的权限

加入具有SBIT的功能

具有空的SUID/SGID权限

        最后一个例子就要特别小心。怎么会出现大写的S与T?不都是小写的吗?

        因为s与t都是取代x这个的权限,但是你有没有发现,我们是执行7666。也就是说,user、group以及others都没有x这个可执行的标志(因为666嘛),所以,这个S与T代表的就是空的

        怎么说呢?SUID是表示该文件在执行的时候,具有文件拥有者的权限,但是文件的拥有者都无法执行了,哪里来的权限给其他人使用?当然就是空的。

        而除了数字法之外,你也可以通过符号法来处理。其中 SUID 为U+s,而SGID为 g+s和SBIT则是o+t。来看看如下的范例:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/372637.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

html——VSCode的使用

快捷键 快速生成标签:标签名tab 保存文件:CtrlS 设置自动保存【文件】→【自动保存】 快速查看网页效果:右击→Open in Default Browser 快捷键:altb 注意:必须安装了open in brows…

批量下载手机中APP程序中文件

需求 利用 adb pull 下载手机中app的某目录 adb pull 命令本身不支持直接下载整个目录(文件夹)及其所有子目录和文件作为一个单一的操作。但是,可以通过一些方法来间接实现这一目的。 方法 1. 首先将要下载的目录进行 tar 打包 # 在 And…

【软件测试】 1+X初级 功能测试试题

岗位管理模块需求说明书 人资管理员登录系统,在“岗位管理”模块,可以对系统中岗位数据进行维 护。岗位管理需求包括用户(UI)页面、业务规则两部分。 UI 页面 岗位管理:列表页 岗位管理:“添加岗位”窗口 …

Docker 使用基础(1)—镜像仓库

🎬慕斯主页:修仙—别有洞天 ♈️今日夜电波:秒針を噛む—ずっと真夜中でいいのに。 0:34━━━━━━️💟──────── 4:20 🔄 ◀️ ⏸ …

ST7789 linux4.x驱动

文章目录 ST7789 linux4.x驱动设备树配置驱动程序编译驱动测试驱动 ST7789 linux4.x驱动 设备树配置 pinctrl_ecspi2_cs_1: ecspi2_cs_grp-1 {fsl,pins <MX6UL_PAD_CSI_DATA01__GPIO4_IO22 0x40017059>; };pinctrl_ecspi2_1: escpi2grp {fsl,pins <MX6UL_PAD_CSI_…

数字系统与进制转换

数字系统 数字逻辑是计算机科学的基础&#xff0c;它研究的是如何通过逻辑门电路&#xff08;与门、或门、非门等&#xff09;实现各种逻辑功能。数字系统则是由数字逻辑电路组成的系统&#xff0c;可以实现各种复杂的运算和控制功能。在计算机科学中&#xff0c;数字逻辑和数…

项目记录:C语言学生成绩排名程序

一个很简单的小项目&#xff0c;大一的学生作业。我简单介绍一下相关功能和代码之类的吧~ 本来题目不强制要求菜单的&#xff0c;我有点强迫症加了菜单。 【1】题目&#xff1a; 一个班40名学生&#xff0c;期末有10门课程成绩&#xff0c;要求计算并输出如下数据&#xff1a; …

Xilinx Vitis 2020工程源目录修改

目录 1 背景2 分析3 解决4 使用4.1 修改路径4.2 编译工程4.2.1 清理工程4.2.2 编译工程 1 背景 Xilinx Vitis可以做standalone程序开发,不过其工程中使用的路径为绝对路径。工程更换位置后编译将会显示错误。例如&#xff1a;源目录为D:/work,复制到同事电脑上放到C:/work(同事…

注册中心组成结构和基本原理解析

假如你正在设计和开发一个分布式服务系统&#xff0c;系统中存在一批能够独立运行的服务&#xff0c;而在部署上也采用了集群模式以防止出现单点故障。显然&#xff0c;对于一个完整的业务系统而言&#xff0c;这些服务之间需要相互调用并形成复杂的访问链路&#xff0c;一种可…

HTML(29)——立体呈现

作用&#xff1a;设置元素的子元素是位于3D空间中还是平面中 属性名&#xff1a;transform-style 属性值&#xff1a; flat&#xff1a;子级处于平面中preserve-3d:子级处于3D空间 步骤&#xff1a; 父级元素添加 transform-style:preserve-3d 子级定位调整子盒子的位置&a…

14-54 剑和诗人28 - 用于实时嵌入查找的向量检索

介绍 LLM 成功的关键因素是向量嵌入的使用。通过将文本转换为数字向量表示&#xff0c;我们可以将语义含义映射到数学向量空间。这使得模型能够根据向量之间的相似性在语言中概括模式。 随着我们的模型和数据集变得越来越大&#xff0c;高效地存储、组织和检索这些嵌入变得至关…

C++ Qt 自制开源科学计算器

C Qt 自制开源科学计算器 项目地址 软件下载地址 目录 0. 效果预览1. 数据库准备2. 按键&快捷键说明3. 颜色切换功能(初版)4. 未来开发展望5. 联系邮箱 0. 效果预览 普通计算模式效果如下&#xff1a; 科学计算模式效果如下&#xff1a; 更具体的功能演示视频见如下链接…

【易捷海购-注册安全分析报告】

前言 由于网站注册入口容易被黑客攻击&#xff0c;存在如下安全问题&#xff1a; 暴力破解密码&#xff0c;造成用户信息泄露短信盗刷的安全问题&#xff0c;影响业务及导致用户投诉带来经济损失&#xff0c;尤其是后付费客户&#xff0c;风险巨大&#xff0c;造成亏损无底洞…

ffmpeg滤镜-drawtext-命令行

使用 FFmpeg 在视频上添加文字可以通过 drawtext 滤镜来实现。这个滤镜允许你指定字体、大小、颜色、位置等。 基本用法 以下命令将 "Hello, World!" 添加到视频的顶部左侧&#xff1a; ffmpeg -i input.mp4 -vf "drawtexttextHello, World\!:fontcolorwhite…

JAVA Tesseract OCR引擎

Tess4j是一个基于Tesseract OCR引擎的Java库, Tesseract库最初由惠普实验室于1985年开发&#xff0c;后来被Google收购并于2006年开源。识别效果不好&#xff0c;速度还慢&#xff0c;但是好早好早了。 一、POM依赖 <!--OCR识别https://digi.bib.uni-mannheim.de/tesserac…

14-26 剑和侠客 – 预训练模型三部曲3 – 机器人时代来临

概述 在第 1 部分和第 2 部分中&#xff0c;我们讨论了适用于文本和图像任务的预训练模型&#xff0c;并探索了当今常用的模型。我们分析了这些模型的架构以及如何将它们用于特定任务。实现 AGI 所需的两个主要支柱是语言理解和机器的视觉能力。有许多任务与这两种能力有关。 …

Syncthing一款开源去中心化和点对点文件同步工具

Syncthing&#xff1a;一款开源的文件同步工具&#xff0c;去中心化和点对点加密传输&#xff0c;支持多平台&#xff0c;允许用户在多个设备之间安全、灵活地同步和共享文件&#xff0c;无需依赖第三方云服务&#xff0c;特别适合高安全性和自主控制的文件同步场景。 &#x…

4. kvm存储虚拟化

kvm存储虚拟化 一、命令行工具管理虚拟磁盘1、查看虚拟磁盘2、添加磁盘3、删除磁盘 二、qcow2格式的磁盘文件1、创建磁盘文件2、差量镜像/快速创建虚机2.1 创建差量镜像2.2 准备配置文件2.3 创建虚拟机2.4 批量部署虚拟机 三、存储池 storage pool1、类型2、在线迁移2.1 规划后…

【基于R语言群体遗传学】-14-种群起源的相对似然

我们可以将预测的基因型比例视为在种群中看到一组特定等位基因的概率。如果种群在等位基因频率上存在差异&#xff0c;我们可以使用基因型来推断个体起源于每个种群的相对可能性。大家可以先看一下之前的博客&#xff1a;群体遗传学_tRNA做科研的博客-CSDN博客 种群起源的相对似…

pytest-yaml-sanmu(六):YAML数据驱动测试

如果说 pytest 中哪些标记使用得最多&#xff0c;那无疑是 parametrize 了&#xff0c; 它为用例实现了参数化测试的能力&#xff0c;进而实现了数据驱动测试的能力。 1. 使用标记 parametrize 的使用需要提高两个内容&#xff1a; 参数名 参数值 pytest 在执行用例时&…