Linux系统文件的默认权限和特殊权限

默认权限 umask

[root@CentOS7 data]# touch file1 ; ll file1
-rw-r--r--. 1 root root 0 Oct  9 13:55 file1
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-xr-x. 2 root root 6 Oct  9 13:55 dir1

umask是什么

从上面的例子中能够发现，新建文件和目录的默认权限分别是64四、755，为啥会这样？这就要聊聊umask了，Linux系统中默认的umask值是022，它直接影响了用户建立的文件或目录的默认权限，它与chmod的效果恰好相反，umask是将文件的对应权限位遮掩住，或者说是从文件的对应权限位“拿走”相关权限，而chmod是给文件赋予相关权限。

如何计算umask值

在Linux系统中，目录最大的权限是777，文件最大的权限是666，由于基于安全缘由，新建的文件不容许有执行权限，因此从文件的权限位来看，文件比目录少了执行（x）权限。
下面来设置不一样的umask值并建立文件：

[root@CentOS7 data]# umask 222
[root@CentOS7 data]# touch file1 ; ll file1
-r--r--r-- 1 root root 0 Sep 30 16:41 file1

能够发现用666减去222就获得了444，但真的是这样计算吗？来看看下面的这个例子：

[root@CentOS7 data]# umask 123
[root@CentOS7 data]# touch file2 ; ll file2
-rw-r--r-- 1 root root 0 Sep 30 16:48 file2

[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drw-r-xr-- 2 root root 6 Sep 30 16:49 dir1

从结果中能够发现新建的文件权限并非666-123=543，而是644，而目录的权限倒是正常减出来的值777-123=654，这是为啥呢？咱们把文件的最大值666和umask值123转换成二进制对位展开来看下：

110 110 110-->666（文件最大权限值）  
001 010 011-->123（umask值）  
110 100 100-->644（新建文件的权限）

从结果来看就验证了前面说的“umask是将文件的对应权限位遮掩住”，1表示遮掩，0则反之。

为了方便记忆能够用下面的这种计算方法：
目录：默认权限是777减去umask值的结果
文件：默认权限是666减去umask值，权限位对应的值若是为奇数则加1，例如：666-123=543，其结果是644。

umask的使用方法

临时生效：umask 022
永久生效：~/.bashrc（用户设置，推荐），/etc/bashrc（全局设置）

有时候须要给新建的文件一个很是严格的权限，好比000，可使用如下方法：

[root@CentOS7 data]# umask 666 ; touch file3
[root@CentOS7 data]# ll file3
---------- 1 root root 0 Sep 30 22:26 file3
[root@CentOS7 data]# umask
0666
or
[root@CentOS7 data]# touch file4 ; chmod 000 file4
[root@CentOS7 data]# ll file4
---------- 1 root root 0 Sep 30 22:33 file4

以上两种方法虽然都能实现建立一个000权限的新文件，可是看起来都挺繁琐的，尤为是前面的方法。若是只是临时设置一下umask值，能够用下面这个方法：

[root@CentOS7 data]# (umask 666 ; touch file5)
[root@CentOS7 data]# ll file5
---------- 1 root root 0 Sep 30 22:42 file5
[root@CentOS7 data]# umask
0022

这种方式只是临时的改一下umask值，而不会改变当前的umask值。

特殊权限 suid sgid sticky

suid

功能：做用于可执行的二进制程序，用户执行此程序时，将继承此程序全部者的权限。

通常状况下，文件能不能访问取决于用户的身份，而不是取决于文件自己。可是，有了suid权限的文件就不是这么一回事了，最明显的就是/etc/shadow这个文件。咱们都知道这个文件是用来保存用户密码的，默认状况下，普通用户对此文件没有任何权限，可是当用户执行passwd这个二进制程序时却能更改口令，同时也会将加密后的密码保存到文件中，这正是passwd这个二进制程序的特殊权限所在。

[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:18 /etc/shadow
[hechunping@CentOS7 ~]$ passwd
Changing password for user hechunping.
Changing password for hechunping.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[hechunping@CentOS7 ~]$ ll /etc/shadow
---------- 1 root root 1271 Sep 30 23:23 /etc/shadow

从上面的执行结果中能够发现/etc/shadow文件的权限为000，可是普通用户hechunping却依然能够执行passwd命令来更改本身的口令，也就是说这个文件的内容也被更改了，不过从文件的权限来看是无法更改的，这是怎么回事呢？这就是因为suid权限致使的，能够经过查看/usr/bin/passwd这个可执行文件的权限来分析：

[root@CentOS7 data]# ll `which passwd`
-rwsr-xr-x. 1 root root 27832 Jun 10  2014 /usr/bin/passwd

能够看到这个可执行的文件全部者段有个“s”，这就表明着suid这个特殊权限，它的做用就是当用户去执行这个程序的时候会继承全部者的权限，因此普通用户hechunping也能更改本身的口令。

sgid

功能：

做用于可执行的二进制程序，用户执行此程序时，将继承此程序所属组的权限。

做用于目录，在此目录中新建文件和目录的所属组将自动继承父目录的所属组。

测试1：当目录的属组为当前用户的主组时，目录下新建文件的所属组也是当前用户的主组；
[root@CentOS7 data]# ll /data/ -d
drwxr-xr-x 2 root root 19 Oct  1 13:18 /data/
[root@CentOS7 data]# touch test1 ; ll test1
-rw-r--r-- 1 root root 0 Oct  1 13:19 test1

测试2：更改目录的属组为其它组，目录下新建文件的所属组依然是当前用户的主组；
[root@CentOS7 data]# chgrp hechunping /data/ ; ll /data/ -d
drwxr-xr-x 2 root hechunping 32 Oct  1 13:19 /data/
[root@CentOS7 data]# touch test2 ; ll test2
-rw-r--r-- 1 root root 0 Oct  1 13:20 test2

测试3：当目录具备sgid权限时，目录下新建文件和目录的所属组自动继承了父目录的所属组。
[root@CentOS7 data]# chmod g+s /data/ ; ll /data/ -d
drwxr-sr-x 2 root hechunping 45 Oct  1 13:20 /data/
[root@CentOS7 data]# touch test3 ; ll test3
-rw-r--r-- 1 root hechunping 0 Oct  1 13:21 test3
[root@CentOS7 data]# mkdir dir1 ; ll dir1 -d
drwxr-sr-x 2 root hechunping 6 Oct  1 13:23 dir1

sticky

功能：做用于目录，该目录下的文件只有文件全部者或root才能删除。

测试1：给/data目录777权限，root在该目录下新建的文件普通用户hechunping能删除
[root@CentOS7 data]# chmod 777 /data/ ; ll /data/ -d 
drwxrwxrwx 2 root root 6 Oct  1 13:56 /data/
[root@CentOS7 data]# touch file1
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct  1 13:52:22 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file1 
[hechunping@CentOS7 ~]$ ls /data/
[hechunping@CentOS7 ~]$ exit
logout

测试2：给/data目录设置了sticky权限后，普通用户hechunping没法删除该目录root用户的文件，可是能够删除本身的文件。
[root@CentOS7 data]# chmod o+t /data/ ; ll /data/ -d
drwxrwxrwt 2 root root 6 Oct  1 13:57 /data/
[root@CentOS7 data]# touch file2 
[root@CentOS7 data]# su - hechunping
Last login: Tue Oct  1 13:56:57 CST 2019 on pts/0
[hechunping@CentOS7 ~]$ rm -rf /data/file2 
rm: cannot remove ‘/data/file2’: Operation not permitted
[hechunping@CentOS7 ~]$ ll /data/
total 0
-rw-r--r-- 1 root root 0 Oct  1 13:58 file2

ps：在Linux系统中/tmp目录默认就设置了sticky权限

设定文件特定属性

虽说权限是给普通用户设置的，可是有些文件设置了特殊属性后，root也没法进行删除、更改等操做，经过chattr命令来实现。

chattr

更改Linux文件系统上的文件属性

【例1】经过chattr命令来设置文件的属性，实现没法删除、更改内容和重命名操做：

[root@CentOS7 data]# touch file1 ; chattr +i file1
[root@CentOS7 data]# rm -rf file1 
rm: cannot remove ‘file1’: Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1’ to ‘file1.bak’: Operation not permitted
[root@CentOS7 data]# echo "hello" >> file1 
-bash: file1: Permission denied

【例2】经过chattr命令来设置文件的属性，实现只能追加内容的操做：

[root@CentOS7 data]# touch file1;chattr +a file1
[root@CentOS7 data]# echo "hello" >> file1 
[root@CentOS7 data]# > file1 
-bash: file1: Operation not permitted
[root@CentOS7 data]# rm -rf file1 
rm: cannot remove ‘file1’: Operation not permitted
[root@CentOS7 data]# mv file1 file1.bak
mv: cannot move ‘file1’ to ‘file1.bak’: Operation not permitted
[root@CentOS7 data]# echo "world" >> file1

【例3】列出文件的特定属性

[root@CentOS7 data]# lsattr file1 
-----a---------- file1

ps：若是要去掉用chattr设定的特定属性，把“+”换成“-”便可。