通过从默认权限666(文件)或777(目录)中减去其值来设置新文件和目录的默认权限,例如umask使文件权限为644、目录为755,限制组和其他用户写权限。0022
Linux中,
umask用于设置新创建文件和目录的默认权限。它实际上是一个“权限掩码”,决定了哪些权限位不被赋予。理解它的工作方式是掌握Linux权限管理的关键一步。
umask
rwww),对于目录,则是777(
rwww)。
umask值中的每一位都对应着要从这些默认权限中移除的权限。
解决方案:
-
查看当前的
umask在终端输入
umask,会显示当前的
umask0022。
-
理解
umaskumask值是一个八进制数,每一位对应着所有者、所属组和其他用户的权限。例如,
0022表示:
- 第一位(0):特殊权限(SUID, SGID, Sticky bit),通常为0
- 第二位(0):所有者的权限,0表示不移除任何权限
- 第三位(2):所属组的权限,2表示移除写权限(
w)
- 第四位(2):其他用户的权限,2表示移除写权限(
w)
因此,
0022意味着新创建的文件所属组和其他用户默认没有写权限。
-
设置
umask使用
umask命令设置新的
umaskumask0027,输入:
umask0027这表示所有者拥有全部权限,所属组拥有读和执行权限,其他用户只有读权限。
-
umask记住,
umaskumask例如,你希望新文件默认权限为
r
w(644),那么你需要移除
--
ww(022)权限,所以
umask0022。
-
持久化
umask仅仅在终端设置
umask值只会影响当前会话。要永久更改
umask-
/etc/profile:影响所有用户的默认
umask -
~/.bash_profile或
~/.bashrc:只影响特定用户的
umask
在这些文件中添加
umask行,然后重新登录或执行
source
~/.bashrc使更改生效。
-
-
示例:
假设你想让新创建的文件只有所有者可读写,所属组和其他用户只读。那么,理想的权限是
r
w(644)。因此,你需要移除
--
ww(022)权限,所以
umask0022。
umask0022w
副标题1
umask
umaskumask
例如,如果umask
0022,那么新创建的文件将具有
666 - 022 = 644的权限(
rw
),新创建的目录将具有
777 - 022 = 755的权限(
rw
)。这意味着所属组和其他用户默认情况下没有写权限。
一个常见的误解是,umask
副标题2
如何根据实际需求选择合适的umask
选择合适的umask
- 安全性优先: 如果你处理敏感数据,那么应该设置一个更严格的
umask0077,这将限制所属组和其他用户对文件的访问。
- 方便性优先: 如果你希望团队成员能够轻松地共享和协作,那么可以设置一个更宽松的
umask0002,这将允许所属组的成员修改文件。
- 个人习惯: 许多开发者喜欢使用
0022作为默认
umask
一个更详细的例子:假设你正在开发一个Web应用程序,并且希望确保只有Web服务器用户才能读取配置文件。你可以创建一个属于Web服务器用户组的文件,并将umask
0027。这将确保只有所有者(通常是你的用户)和Web服务器用户组可以读取文件,而其他用户无法访问。
# 创建一个Web服务器用户组 groupaddebadmins # 将你的用户添加到该组 usermod -a -Gwebadmins yourusername # 创建一个配置文件 touch config.ini # 更改文件的所有者和所属组 chown root:webadmins config.ini # 设置wumaskumask# 验证权限 ls -l config.ini # 输出: -r0027-r----- 1 rootwebadmins 0 Oct 26 15:00 config.iniw
副标题3
umaskchmod
umask和
chmod都用于管理Linux中的文件权限,但它们的工作方式不同:
-
umask -
chmod
它们协同工作的方式是:
umask在文件创建时设置初始权限,而
chmod可以随时修改这些权限。
例如,如果你使用
umask0022
创建了一个新文件,那么它的默认权限将是
rw
。如果你想让所有用户都可读,你可以使用
chmod将权限更改为
rw
。
一个常见的场景是:你可能希望创建一个只能由特定用户读取的文件。你可以先使用
umask0077
创建一个文件,然后使用
chmod命令将所有者更改为特定用户,并赋予他们读写权限。
# 设置umaskumask0077# 创建一个文件 touch secret.txt # 更改文件的所有者 chon specificuser:specificgroup secret.txt # 设置权限,只有所有者可读写w600 secret.txt # 验证权限 ls -l secret.txt # 输出: -rchmod------- 1 specificuser specificgroup 0 Oct 26 15:15 secret.txtw
在这个例子中,
umask确保默认情况下没有其他用户可以访问该文件,而
chmod允许你精确控制特定用户的权限。
副标题4
修改/etc/profile~/.bashrc
/etc/profile和
~/.bashrc都是用于设置环境变量和shell选项的文件,但它们的作用范围和加载时机不同:
-
/etc/profile:这是一个系统级别的配置文件,影响所有用户的shell环境。它在用户登录时执行,只执行一次。
-
~/.bashrc:这是一个用户级别的配置文件,只影响特定用户的shell环境。它在每次启动新的交互式shell时执行。
选择哪个文件取决于你的需求:
- 全局设置: 如果你想为所有用户设置相同的
umask/etc/profile。这需要root权限。
- 用户特定设置: 如果你想为特定用户设置
umask~/.bashrc。这只需要该用户的权限。
一个常见的场景是:系统管理员可能希望为所有用户设置一个默认的umask
/etc/profile文件。另一方面,开发者可能希望为自己的用户设置一个更宽松的umask
~/.bashrc文件。
需要注意的是,如果同时修改了
/etc/profile和
~/.bashrc,那么
~/.bashrc中的设置会覆盖
/etc/profile中的设置。这是因为
~/.bashrc在
~/.profile(通常会调用
/etc/profile)之后执行。
副标题5
忘记设置umask
忘记设置umask
- 敏感数据泄露: 如果
umask0000,那么新创建的文件默认情况下将具有
rwww权限。这意味着所有用户都可以读取和修改这些文件,包括包含密码、密钥或其他敏感信息的文件。
- 恶意代码执行: 如果
umask0000,那么新创建的目录默认情况下将具有
rwww权限。这意味着所有用户都可以在这些目录中创建和执行文件,包括恶意代码。
- 权限提升: 如果
umaskumask
一个真实的例子是:许多Web应用程序在上传文件时没有正确设置umask
rwww权限,这意味着任何人都可以在Web服务器上读取和修改这些文件。攻击者可以利用这一点上传恶意代码,并利用Web服务器的权限执行这些代码。
因此,始终要仔细考虑umaskumask
大家都在看:
w.com/faq/1524768.html" title="Linux后台运行命令的常用方法">Linux后台运行命令的常用方法 w.com/faq/1524740.html" title="Linux如何清理yum缓存空间">Linux如何清理yum缓存空间 w.com/faq/1524738.html" title="如何在Linux中文件监控 Linux inotify实时监听">如何在Linux中文件监控 Linux inotify实时监听 w.com/faq/1524718.html" title="Linux如何设置用户环境变量">Linux如何设置用户环境变量 w.com/faq/1524559.html" title="Linux怎么排查服务高负载问题">Linux怎么排查服务高负载问题