文件與目錄的默認權限與隱藏權限
一個文件有若干個屬性, 包括讀寫運行(r, w, x)等基本權限,及是否為目錄 (d) 與文件 (-) 或者是連結檔 (l) 等等的屬性! 要修改屬性的方法在前面也約略提過了(chgrp, chown, chmod) ,本小節會再加強補充一下!
除了基本r, w, x權限外,在Linux的Ext2/Ext3文件系統下,我們還可以配置其他的系統隱藏屬性, 這部份可使用 chattr 來配置,而以 lsattr 來查看,最重要的屬性就是可以配置其不可修改的特性!讓連文件的擁有者都不能進行修改! 這個屬性可是相當重要的,尤其是在安全機制上面 (security)!
文件默認權限:umask 反碼計算
OK!那么現在我們知道如何創建或者是改變一個目錄或文件的屬性了,不過, 你知道當你創建一個新的文件或目錄時,他的默認權限會是什么嗎?呵呵!那就與 umask 這個玩意兒有關了!那么 umask 是在搞什么呢?基本上, umask 就是指定 『目前使用者在創建文件或目錄時候的權限默認值』, 那么如何得知或配置 umask 呢?他的指定條件以底下的方式來指定:
[root@www ~]# umask 0022 <==與一般權限有關的是后面三個數字! [root@www ~]# umask -S u=rwx,g=rx,o=rx
查閱的方式有兩種,一種可以直接輸入 umask ,就可以看到數字型態的權限配置分數, 一種則是加入 -S (Symbolic) 這個選項,就會以符號類型的方式來顯示出權限了! 奇怪的是,怎么 umask 會有四組數字啊?不是只有三組嗎?是沒錯啦。 第一組是特殊權限用的,我們先不要理他,所以先看后面三組即可。
在默認權限的屬性上,目錄與文件是不一樣的。從第六章我們知道 x 權限對於目錄是非常重要的! 但是一般文件的創建則不應該有運行的權限,因為一般文件通常是用在於數據的記錄嘛!當然不需要運行的權限了。 因此,默認的情況如下:
- 若使用者創建為『文件』則默認『沒有可運行( x )權限』,亦即只有 rw 這兩個項目,也就是最大為 666 分,默認權限如下:
-rw-rw-rw- - 若使用者創建為『目錄』,則由於 x 與是否可以進入此目錄有關,因此默認為所有權限均開放,亦即為 777 分,默認權限如下:
drwxrwxrwx
要注意的是,umask 的分數指的是『該默認值需要減掉的權限!』因為 r、w、x 分別是 4、2、1 分,所以羅!也就是說,當要拿掉能寫的權限,就是輸入 2 分,而如果要拿掉能讀的權限,也就是 4 分,那么要拿掉讀與寫的權限,也就是 6 分,而要拿掉運行與寫入的權限,也就是 3 分,這樣了解嗎?請問你, 5 分是什么?呵呵! 就是讀與運行的權限啦!
如果以上面的例子來說明的話,因為 umask 為 022 ,所以 user 並沒有被拿掉任何權限,不過 group 與 others 的權限被拿掉了 2 (也就是 w 這個權限),那么當使用者:
- 創建文件時:(-rw-rw-rw-) - (-----w--w-) ==> -rw-r--r--
- 創建目錄時:(drwxrwxrwx) - (d----w--w-) ==> drwxr-xr-x
不相信嗎?我們就來測試看看吧!
[root@www ~]# umask 0022 #目錄默認權限 [root@www ~]# touch test1 [root@www ~]# mkdir test2 [root@www ~]# ll -rw-r--r-- 1 root root 0 Sep 27 00:25 test1 drwxr-xr-x 2 root root 4096 Sep 27 00:25 test2 # 此新目錄權限為777-022為755
umask的利用與重要性:專題制作
想像一個狀況,如果你跟你的同學在同一部主機里面工作時,因為你們兩個正在進行同一個專題, 老師也幫你們兩個的帳號創建好了相同群組的狀態,並且將 /home/class/ 目錄做為你們兩個人的專題目錄。 想像一下,有沒有可能你所制作的文件你的同學無法編輯?果真如此的話,那就傷腦筋了!
這個問題很常發生啊!舉上面的案例來看就好了,你看一下 test1 的權限是幾分? 644 呢!意思是『如果 umask 訂定為 022 ,那新建的數據只有使用者自己具有 w 的權限, 同群組的人只有 r 這個可讀的權限而已,並無法修改喔!』這樣要怎么共同制作專題啊!您說是吧!
所以,當我們需要新建文件給同群組的使用者共同編輯時,那么 umask 的群組就不能拿掉 2 這個 w 的權限! 所以羅, umask 就得要是 002 之類的才可以!這樣新建的文件才能夠是 -rw-rw-r-- 的權限模樣喔! 那么如何配置 umask 呢?簡單的很,直接在 umask 后面輸入 002 就好了!
[root@www ~]# umask 002 [root@www ~]# touch test3 [root@www ~]# mkdir test4 [root@www ~]# ll -rw-rw-r-- 1 root root 0 Sep 27 00:36 test3 drwxrwxr-x 2 root root 4096 Sep 27 00:36 test4
所以說,這個 umask 對於新建文件與目錄的默認權限是很有關系的!這個概念可以用在任何服務器上面, 尤其是未來在你架設文件服務器 (file server) ,舉例來說, SAMBA Server 或者是 FTP server 時, 都是很重要的觀念!這牽涉到你的使用者是否能夠將文件進一步利用的問題喔!不要等閑視之!
在默認的情況中, root 的 umask 會拿掉比較多的屬性,root 的 umask 默認是 022 , 這是基於安全的考量啦~至於一般身份使用者,通常他們的 umask 為 002 ,亦即保留同群組的寫入權力! 其實,關於默認 umask 的配置可以參考 /etc/bashrc 這個文件的內容,不過,不建議修改該文件。
文件隱藏屬性:
什么?文件還有隱藏屬性?光是那九個權限就快要瘋掉了,竟然還有隱藏屬性,真是要命~ 但是沒辦法,就是有文件的隱藏屬性存在啊!不過,這些隱藏的屬性確實對於系統有很大的幫助的~ 尤其是在系統安全 (Security) 上面,重要的緊呢!不過要先強調的是,底下的chattr命令只能在Ext2/Ext3的文件系統上面生效, 其他的文件系統可能就無法支持這個命令了。底下我們就來談一談如何配置與檢查這些隱藏的屬性吧!
chattr (配置文件隱藏屬性)
[root@www ~]# chattr [+-=][ASacdistu] 文件或目錄名稱
選項與參數:
+ :添加某一個特殊參數,其他原本存在參數則不動。
- :移除某一個特殊參數,其他原本存在參數則不動。
= :配置一定,且僅有后面接的參數
A :當配置了 A 這個屬性時,若你有存取此文件(或目錄)時,他的存取時間 atime
將不會被修改,可避免I/O較慢的機器過度的存取磁碟。這對速度較慢的計算機有幫助
S :一般文件是非同步寫入磁碟的(原理請參考第五章sync的說明),如果加上 S 這個
屬性時,當你進行任何文件的修改,該更動會『同步』寫入磁碟中。
a :當配置 a 之后,這個文件將只能添加數據,而不能刪除也不能修改數據,只有root
才能配置這個屬性。
c :這個屬性配置之后,將會自動的將此文件『壓縮』,在讀取的時候將會自動解壓縮,
但是在儲存的時候,將會先進行壓縮后再儲存(看來對於大文件似乎蠻有用的!)
d :當 dump 程序被運行的時候,配置 d 屬性將可使該文件(或目錄)不會被 dump 備份
i :這個 i 可就很厲害了!他可以讓一個文件『不能被刪除、改名、配置連結也無法
寫入或新增數據!』對於系統安全性有相當大的助益!只有 root 能配置此屬性
s :當文件配置了 s 屬性時,如果這個文件被刪除,他將會被完全的移除出這個硬盤
空間,所以如果誤刪了,完全無法救回來了喔!
u :與 s 相反的,當使用 u 來配置文件時,如果該文件被刪除了,則數據內容其實還
存在磁碟中,可以使用來救援該文件喔!
注意:屬性配置常見的是 a 與 i 的配置值,而且很多配置值必須要身為 root 才能配置
#請嘗試到/tmp底下創建文件,並加入 i 的參數,嘗試刪除看看。
[root@www ~]# cd /tmp
[root@www tmp]# touch attrtest <==創建一個空文件
[root@www tmp]# chattr +i attrtest <==給予 i 的屬性
[root@www tmp]# rm attrtest <==嘗試刪除看看
rm: remove write-protected regular empty file `attrtest'? y
rm: cannot remove `attrtest': Operation not permitted <==操作不許可
# 看到了嗎?呼呼!連 root 也沒有辦法將這個文件刪除呢!趕緊解除配置!
請將該文件的 i 屬性取消!
[root@www tmp]# chattr -i attrtest
這個命令是很重要的,尤其是在系統的數據安全上面!由於這些屬性是隱藏的性質,所以需要以 lsattr 才能看到該屬性呦!其中,個人認為最重要的當屬 +i 與 +a 這個屬性了。+i 可以讓一個文件無法被更動,對於需要強烈的系統安全的人來說, 真是相當的重要的!里頭還有相當多的屬性是需要 root 才能配置的呢!
此外,如果是 log file 這種的登錄檔,就更需要 +a 這個可以添加,但是不能修改舊有的數據與刪除的參數了!
lsattr (顯示文件隱藏屬性)
[root@www ~]# lsattr [-adR] 文件或目錄 選項與參數: -a :將隱藏檔的屬性也秀出來; -d :如果接的是目錄,僅列出目錄本身的屬性而非目錄內的檔名; -R :連同子目錄的數據也一並列出來! [root@www tmp]# chattr +aij attrtest [root@www tmp]# lsattr attrtest ----ia---j--- attrtest
使用 chattr 配置后,可以利用 lsattr 來查閱隱藏的屬性。不過, 這兩個命令在使用上必須要特別小心,否則會造成很大的困擾。例如:某天你心情好,突然將 /etc/shadow 這個重要的密碼記錄文件給他配置成為具有 i 的屬性,那么過了若干天之后, 你突然要新增使用者,卻一直無法新增!別懷疑,趕快去將 i 的屬性拿掉吧!
文件特殊權限: SUID, SGID, SBIT
[root@www ~]# ls -ld /tmp ; ls -l /usr/bin/passwd drwxrwxrwt 7 root root 4096 Sep 27 18:23 /tmp -rwsr-xr-x 1 root root 22984 Jan 7 2007 /usr/bin/passwd
不是應該只有 rwx 嗎?還有其他的特殊權限( s 跟 t )啊?啊.....頭又開始昏了~ @_@ 因為 s 與 t 這兩個權限的意義與帳戶和進程較為相關!底下的說明先看看就好,如果看不懂也沒有關系, 先知道s放在哪里稱為SUID/SGID以及如何配置即可!
Set UID
當 s 這個標志出現在文件擁有者的 x 權限上時,例如剛剛提到的 /usr/bin/passwd 這個文件的權限狀態:『-rwsr-xr-x』,此時就被稱為 Set UID,簡稱為 SUID 的特殊權限。 那么SUID的權限對於一個文件的特殊功能是什么呢?基本上SUID有這樣的限制與功能:
- SUID 權限僅對二進位程序(binary program)有效;
- 運行者對於該程序需要具有 x 的可運行權限;
- 本權限僅在運行該程序的過程中有效 (run-time);
- 運行者將具有該程序擁有者 (owner) 的權限。
講這么硬的東西你可能對於 SUID 還是沒有概念,沒關系,我們舉個例子來說明好了。 我們的 Linux 系統中,所有帳號的密碼都記錄在 /etc/shadow 這個文件里面,這個文件的權限為:『-r-------- 1 root root』,意思是這個文件僅有root可讀且僅有root可以強制寫入而已。 既然這個文件僅有 root 可以修改,那么鳥哥的 vbird 這個一般帳號使用者能否自行修改自己的密碼呢? 你可以使用你自己的帳號輸入『passwd』這個命令來看看,嘿嘿!一般使用者當然可以修改自己的密碼了!
唔!有沒有沖突啊!明明 /etc/shadow 就不能讓 vbird 這個一般帳戶去存取的,為什么 vbird 還能夠修改這個文件內的密碼呢? 這就是 SUID 的功能啦!藉由上述的功能說明,我們可以知道
- vbird 對於 /usr/bin/passwd 這個程序來說是具有 x 權限的,表示 vbird 能運行 passwd;
- passwd 的擁有者是 root 這個帳號;
- vbird 運行 passwd 的過程中,會『暫時』獲得 root 的權限;
- /etc/shadow 就可以被 vbird 所運行的 passwd 所修改。
但如果 vbird 使用 cat 去讀取 /etc/shadow 時,他能夠讀取嗎?因為 cat 不具有 SUID 的權限,所以 vbird 運行 『cat /etc/shadow』 時,是不能讀取 /etc/shadow 的。我們用一張示意圖來說明如下:
圖4.4.1、SUID程序運行的過程示意圖
另外,SUID 僅可用在binary program 上, 不能夠用在 shell script 上面!這是因為 shell script 只是將很多的 binary 運行檔叫進來運行而已!所以 SUID 的權限部分,還是得要看 shell script 呼叫進來的程序的配置, 而不是 shell script 本身。當然,SUID 對於目錄也是無效的~這點要特別留意。
Set GID
當 s 標志在文件擁有者的 x 項目為 SUID,那 s 在群組的 x 時則稱為 Set GID, SGID 羅!是這樣沒錯!^_^。 舉例來說,你可以用底下的命令來觀察到具有 SGID 權限的文件喔:
[root@www ~]# ls -l /usr/bin/locate -rwx--s--x 1 root slocate 23856 Mar 15 2007 /usr/bin/locate
SGID 對二進位程序有用;與 SUID 不同的是,SGID 可以針對文件或目錄來配置!如果是對文件來說, SGID 有如下的功能:
- 程序運行者對於該程序來說,需具備 x 的權限;
- 運行者在運行的過程中將會獲得該程序群組的支持!
舉例來說,上面的 /usr/bin/locate 這個程序可以去搜尋 /var/lib/mlocate/mlocate.db 這個文件的內容 (詳細說明會在下節講述), mlocate.db 的權限如下:
[root@www ~]# ll /usr/bin/locate /var/lib/mlocate/mlocate.db -rwx--s--x 1 root slocate 23856 Mar 15 2007 /usr/bin/locate -rw-r----- 1 root slocate 3175776 Sep 28 04:02 /var/lib/mlocate/mlocate.db
除了 binary program 之外,事實上 SGID 也能夠用在目錄上,這也是非常常見的一種用途! 當一個目錄配置了 SGID 的權限后,他將具有如下的功能:與 SUID 非常的類似,若我使用 vbird 這個帳號去運行 locate 時,那 vbird 將會取得 slocate 群組的支持, 因此就能夠去讀取 mlocate.db 啦!非常有趣吧!
- 使用者若對於此目錄具有 r 與 x 的權限時,該使用者能夠進入此目錄;
- 使用者在此目錄下的有效群組(effective group)將會變成該目錄的群組;
- 用途:若使用者在此目錄下具有 w 的權限(可以新建文件),則使用者所創建的新文件,該新文件的群組與此目錄的群組相同。
SGID 對於專案開發來說是非常重要的!因為這涉及群組權限的問題。
Sticky Bit
這個 Sticky Bit, SBIT 目前只針對目錄有效,對於文件已經沒有效果了。 SBIT 對於目錄的作用是:
- 當使用者對於此目錄具有 w, x 權限,亦即具有寫入的權限時;
- 當使用者在該目錄下創建文件或目錄時,僅有自己與 root 才有權力刪除該文件
換句話說:當甲這個使用者於 A 目錄是具有群組或其他人的身份,並且擁有該目錄 w 的權限, 這表示『甲使用者對該目錄內任何人創建的目錄或文件均可進行 "刪除/更名/搬移" 等動作。』 不過,如果將 A 目錄加上了 SBIT 的權限項目時, 則甲只能夠針對自己創建的文件或目錄進行刪除/更名/移動等動作,而無法刪除他人的文件。
舉例來說,我們的 /tmp 本身的權限是『drwxrwxrwt』, 在這樣的權限內容下,任何人都可以在 /tmp 內新增、修改文件,但僅有該文件/目錄創建者與 root 能夠刪除自己的目錄或文件。這個特性也是挺重要的啊!你可以這樣做個簡單的測試:
- 以 root 登陸系統,並且進入 /tmp 當中;
- touch test,並且更改 test 權限成為 777 ;
- 以一般使用者登陸,並進入 /tmp;
- 嘗試刪除 test 這個文件!
SUID/SGID/SBIT 權限配置
現在你應該已經知道數字型態更改權限的方式為『三個數字』的組合, 那么如果在這三個數字之前再加上一個數字的話,最前面的那個數字就代表這幾個權限了!
- 4 為 SUID
- 2 為 SGID
- 1 為 SBIT
假設要將一個文件權限改為『-rwsr-xr-x』時,由於 s 在使用者權限中,所以是 SUID ,因此, 在原先的 755 之前還要加上 4 ,也就是:『 chmod 4755 filename 』來配置!此外,還有大 S 與大 T 的產生喔!參考底下的范例啦!
[root@www ~]# cd /tmp [root@www tmp]# touch test <==創建一個測試用空檔 [root@www tmp]# chmod 4755 test; ls -l test <==加入具有 SUID 的權限 -rwsr-xr-x 1 root root 0 Sep 29 03:06 test [root@www tmp]# chmod 6755 test; ls -l test <==加入具有 SUID/SGID 的權限 -rwsr-sr-x 1 root root 0 Sep 29 03:06 test [root@www tmp]# chmod 1755 test; ls -l test <==加入 SBIT 的功能! -rwxr-xr-t 1 root root 0 Sep 29 03:06 test [root@www tmp]# chmod 7666 test; ls -l test <==具有空的 SUID/SGID 權限 -rwSrwSrwT 1 root root 0 Sep 29 03:06 test
最后一個例子就要特別小心啦!怎么會出現大寫的 S 與 T 呢?不都是小寫的嗎? 因為 s 與 t 都是取代 x 這個權限的,但是你有沒有發現阿,我們是下達 7666 喔!也就是說, user, group 以及 others 都沒有 x 這個可運行的標志( 因為 666 嘛 ),所以,這個 S, T 代表的就是『空的』啦!怎么說? SUID 是表示『該文件在運行的時候,具有文件擁有者的權限』,但是文件 擁有者都無法運行了,哪里來的權限給其他人使用?當然就是空的啦! ^_^
而除了數字法之外,你也可以透過符號法來處理喔!其中 SUID 為 u+s ,而 SGID 為 g+s ,SBIT 則是 o+t 羅!來看看如下的范例:
# 配置權限成為 -rws--x--x 的模樣: [root@www tmp]# chmod u=rwxs,go=x test; ls -l test -rws--x--x 1 root root 0 Aug 18 23:47 test # 承上,加上 SGID 與 SBIT 在上述的文件權限中! [root@www tmp]# chmod g+s,o+t test; ls -l test -rws--s--t 1 root root 0 Aug 18 23:47 test
觀察文件類型:file
如果你想要知道某個文件的基本數據,例如是屬於 ASCII 或者是 data 文件,或者是 binary , 且其中有沒有使用到動態函式庫 (share library) 等等的資訊,就可以利用 file 這個命令來檢閱喔! 舉例來說:
[root@www ~]# file ~/.bashrc /root/.bashrc: ASCII text <==告訴我們是 ASCII 的純文字檔啊! [root@www ~]# file /usr/bin/passwd /usr/bin/passwd: setuid ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.6.9, dynamically linked (uses shared libs), for GNU/Linux 2.6.9, stripped # 運行檔的數據可就多的不得了!包括這個文件的 suid 權限、兼容於 Intel 386 # 等級的硬件平台、使用的是 Linux 核心 2.6.9 的動態函式庫連結等等。 [root@www ~]# file /var/lib/mlocate/mlocate.db /var/lib/mlocate/mlocate.db: data <== 這是 data 文件!
透過這個命令,我們可以簡單的先判斷這個文件的格式為何喔!
創建目錄默認權限:777-umask
|
1
2
3
4
5
6
7
|
[root@soysauce ~]
# umask # 默認umask為022
0022
[root@soysauce ~]
# mkdir testdir # 新建一個空目錄
[root@soysauce ~]
# ll
total 8
-rw------- 1 root root 518 Nov 1 20:02 iptables.sh
drwxr-xr-x 2 root root 4096 Nov 6 16:05 testdir
# 此新目錄權限為777-022為755
|