Linux之文件(目录)默认权限、特殊权限与隐藏权限

时间:2021-12-29 06:21:12

文件默认权限

Linux之用户组、文件权限详解了解到文件与目录的基本权限管理,文件在创建时如果不指定具体的权限,那么系统会给它分配一个默认的权限,这个默认权限就是umask。

vbird@Ubuntu1604:~$ umask   //我们可以使用umask命令来查看默认权限
0002

第1个0是特殊默认权限,可以先不用管。后面002就是我们创建文件/目录的默认权限。由于普通文件默认没有可执行权限,即只有r、w权限,所以权限最大为666(-rw-rw-rw-)。目录需要进入访问权限,需要有r、w、x权限,所以权限最大为777(drwxrwxrwx)。而umask是该默认值需要减去的权限,此时,umask为002(第1个0先不管),普通文件默认权限=(-rw-rw-rw-)-(--------w-)=664(-rw-rw-r--),目录默认权限=(drwxrwxrwx)-(--------w-)=775(drwxrwxr-x)。

vbird@Ubuntu1604:~$ touch aa
vbird@Ubuntu1604:~$ mkdir bb
vbird@Ubuntu1604:~$ ls -l
total 20
-rw-rw-r-- 1 vbird vbird    0 9月   9 14:56 aa
drwxrwxr-x 2 vbird vbird 4096 9月   9 14:56 bb

刚才使用umask查看到默认权限是0002,linux中除了常见的读(r)、写(w)、执行(x)权限以外,还有3个特殊的权限,分别是setuid、setgid和stick bit,就对应着第1个0值。

文件特殊权限:SUID、SGID、SBIT

setuid:SUID,全称为set UID,在高位起第三位上表现为s。

当我们普通用户使用passwd进行修改密码的时候,passwd会去访问/etc/shadow,但是普通用户根本没有读写的权限,那怎么办呢?linux在我们运行passwd修改密码的时候,会暂时获取/etc/shadow文件拥有者root的权限,然后对/etc/shadow进行读写访问,访问完之后释放文件拥有者的权限。这就是setuid的魅力。简单来说就是,使用者暂时获取文件(目录)拥有者的权限,使用完再释放。

setgid:SGID和SUID类似,在高起第六位上表现为s。

SGID改变的是执行者的所属组,可以对可执行文件和目录设置。通过对目录设置SGID属性,可以使得访问在该目录下创建的所有文件的所有权,都继承原目录的所有者,而非创建者。因为一旦有用户进入到该目录下,由于具有SGID权限,进入目录后的用户就会变成该目录的所有者,在该目录下创建的所有文件,都以该目录的所有者的身份创建。

利用好这个权限位在很多团队合作的项目上更加方便管理。比如一个共同维护的数据文件夹,为了方便管理,只允许管理员对里面的数据具有改变和删除的权利,但是却有很多用户需要有在该目录下添加数据文件的权利,利用SGID可以很好的解决这一点。

stick bit:SBID权限同样只对目录有效,在权限位的最低位表现为t。

通过对目录设置SBID权限,并且该目录的权限为777,则所有用户可以在该目录下都可以创建文件,并且文件所有者是自己。但是在SBID权限的目录下,只有root和文件的所有者才能删除该文件,即使文件的属性为777也不能被其他用户删除。这个权限在共享过程中非常实用。共享的文件任何人都有读写的权利,但是只有文件的所有者才能删除该文件。

SUID/SGID/SBIT权限设置

SUID数值为4,SGID数值为2,SBIT数值为1,umask中默认权限中的从左往右第1个值为SUID/SGID/SBIT权限。

文件隐藏权限

除了以上权限外,linux还提供了一套隐藏权限机制。需要使用chattr设置隐藏权限,lsattr查看隐藏权限。

命令功能:

查看文件的隐藏权限

命令格式:

lsattr [ -RVadv ] [ files...  ]

命令参数:

-R  递归查看目录下文件

-V  显示程序的版本

-a  不忽略以“.”开头的隐藏文件

-v  列出文件的版本号和生成号

命令实例:

见chattr 

命令功能:

查看文件的隐藏权限

命令格式:

chattr [ -RVf ] [ -v version ] [ mode ] files...

命令参数:

+-= :分别为 [+ 增加] [- 减少] [= 设定] 属性的意思
A  :当设定了 A 这个属性时,这个档案(或目录)的访问时间atime (access) 将不可被修改, 可避免例如手提式计算机容易有磁盘 I/O 错误的情况发生!
S  :这个功能有点类似 sync 的功能!就是会将数据同步写入磁盘当中!可以有效的避免数据流失!
a  :当设定 a 之后,这个档案将只能增加数据,而不能删除,只有 root 才能设定这个属性。
c  :这个属性设定之后,将会自动的将此档案压缩,在读取的时候将会自动解压缩出来,但是在储存的时候,将会先进行压缩之后再储存(看来对于大档案似乎蛮有用的!)
d  :当 dump (备份)程序被执行的时候,设定 d 属性将可使该档案(或目录)具有 dump 功效!
i  :这个 i 可就很厉害了!他可以让一个档案不能被删除、改名、设定连结也无法写入或新增数据!对于系统安全性有相当大的帮助! (只有root才能设置)
j  :当使用 ext3 这个档案系统格式时,设定 j 属性将会使档案在写入时先记录在 journal 中! 但是当 filesystem 设定参数为 data=journalled 时,由于已经设定了日志了,所以这个属性无效!
s  :当档案设定了 s 参数时,他将会被完全的移除出这个硬盘空间。
u  :与 s 相反的,当使用 u 来设定档案时,则数据内容其实还存在磁盘中,可以使用来找回该文件。

-R  递归查看目录下文件

-V  显示程序的版本

-v  列出文件的版本号和生成号

备注:chattr命令很多设置必须root才能设置

命令实例:

1.新建1个文件aa,然后设置隐藏权限i使之不能被删除。(只有root才能执行此操作)

root@Ubuntu1604:/home/vbird# touch aa
root@Ubuntu1604:/home/vbird# lsattr aa
-------------e-- aa
root@Ubuntu1604:/home/vbird# chattr +i aa
root@Ubuntu1604:/home/vbird# lsattr aa
----i--------e-- aa
root@Ubuntu1604:/home/vbird# rm aa
rm: cannot remove 'aa': Operation not permitted
root@Ubuntu1604:/home/vbird# chattr -i aa
root@Ubuntu1604:/home/vbird# rm aa
root@Ubuntu1604:/home/vbird# ls aa
ls: cannot access 'aa': No such file or directory