Linux权限扩展

在LINUX中我们创建文件或文件夹的时候系统总会为我们创建的对象分配一个默认的权限，那么今天我们就了解一下这个默认权限是怎么得来的？以及我们如何来改变系统的默认权限设置？

在LINUX系统中我们打开每一个终端都会拥有一个umask属性，这个umask属性使用数字方式来表示，如：002或022，这个属性也是用来确定新建文件夹、新建文件的默认权限的。需要注意的是普通用户和root用户的umask值有可能是不同的，所以普通用户和root用户下创建对象的默认权限也有可能是不同的。

[oracle@std ~]$ umask

[oracle@std ~]$ su -
Password:
[root@std ~]# umask

备注：可以看到umask值为4为，其中最前面一位表示特殊权限为

文件夹和文件是用不同的计算方式来确定默认权限：

目录的默认权限是：777-umask

文件的默认权限是：666-umask

通常情况下在LINUX中，普通用户的umask值为002，root用户的默认umask值为022

新建目录的默认权限是：777-umask

新建文件的默认权限是：666-umask

利用上面的公式，我们也就知道了----

对于普通用户来说：----------------------------

新建目录的默认权限是：777-002=775

新建文件的默认权限是：666-002=664

对于root用户来说：-----------------------------

新建目录的默认权限是：777-022=755

新建文件的默认权限是：666-022=644

[root@std ~]# umask

[root@std ~]# mkdir test
[root@std ~]# ls -ld test
drwxr-xr-x  root root  Jan  : test
[root@std ~]# touch aa
[root@std ~]# ls -l aa
-rw-r--r--  root root  Jan  : aa

可以通过umask命令查看/更改umask的值，这样的更改只是对当前终端有效，对其他终端是没有效果的，我们可以把这个命令写到当前用户的.bash_profile中

[oracle@std ~]$ umask

[oracle@std ~]$ umask
[oracle@std ~]$ umask

LINUX的特殊权限 setuid/setgid/sticky

我们知道在LINUX中文件都有所有者及所有组，文件的所有者表示了该文件是谁创建的，文件的所有组表示这个文件所有者所属的组。结合文件或目录的权限位-rwxrwxrwx就能够知道这个用户及属于该组里的用户对这个文件或目录能够拥有什么样的具体权限。了解这个我们就来说说LINUX中的特殊权限。

setuid:具有setuid权限的文件能够以文件的所属用户身份执行，而非执行文件的用户

[root@std ~]# which passwd
/usr/bin/passwd
[root@std ~]# ll /usr/bin/passwd
-rwsr-xr-x  root root  Jul    /usr/bin/passwd
[root@std ~]# ll /etc/shadow
-r--------  root root  Dec    /etc/shadow

例如上面我们看到passwd命令是用来更改用户密码的，普通用户也可以使用这个命令更改自己的密码，
该命令需要把密码保存在/etc/shadow文件中，可以看到/etc/shadow的权限是除了root用户其他任何用户
都无权限写的。那么一个普通用户如何怎么还可能使用passwd命令更改密码那，。。。原因就在于/usr/bin/passwd
文件具有一个setuid权限，如上，-rwsr-xr-x 1 root root 22960 Jul 17  2006 /usr/bin/passwd
注意setuid权限只对文件有效，对目录没效

setgid:具有setgid权限的文件以文件所属组运行，该目录中创建的任何新文件的所属组与该目录的所属组相同

sticky: 对目录拥有写入权限的用户仅可以删除其拥有的文件，无法删除其他用户所拥有的文件。

例如在tmp文件里，所有用户都有读写权限，但用户只能删除属于自己的文件，删除不了别的用户的文件

[root@std ~]# ll -ld /tmp
drwxrwxrwt  root root  Jan  : /tmp
[root@std ~]# ll /tmp
total
-rw-r-----  oracle oinstall   Jan  : cpuinfo.txt
drwx------  oracle oinstall   Jan  : gconfd-oracle
-rw-r-----  oracle oinstall     Jan  : glibc.txt
drwx------  oracle oinstall   Sep   : keyring-fNMrwn
drwx------  oracle oinstall   Aug  : keyring-g5tA5I
drwx------  oracle oinstall   Sep  : keyring-GbCSBP
drwx------  oracle oinstall   Nov  : keyring-IbMKsk
drwx------  oracle oinstall   Sep  : keyring-VXqxii
-rw-r-----  oracle oinstall     Jan  : LinuxVendor_output.txt
srwxr-xr-x  oracle oinstall      Jan  : mapping-oracle
srwxr-xr-x  root   root          Oct  : mapping-root
drwxrwx---  oracle oinstall   Jan  : OraInstall2015--15_04--22PM
drwxrwx---  oracle oinstall   Jan  : OraInstall2015--15_04--21PM
drwxrwx---  root   root       Jan  : OraInstall2015--15_04--48PM
drwxr-xr-x  root   root       Jan  : OraInstall2015--15_04--59PM
drwxr-xr-x  root   root       Jan  : OraInstall2015--15_04--29PM
drwxr-xr-x  root   root       Jan  : OraInstall2015--15_04--27PM
drwxrwx---  oracle oinstall   Jan  : OraInstall2015--15_04--38PM
drwxrwx---  oracle oinstall   Jan  : OraInstall2015--16_10--44AM
-rw-r-----  oracle oinstall  Jan  : pkginfo.txt
srw-------  oracle oinstall      Jan  : scim-panel-socket:-oracle
srw-------  root   root          Oct  : scim-panel-socket:-root
-rw-r-----  oracle oinstall    Jan  : swapinfo.txt
-rw-r-----  oracle oinstall     Jan  : tmpFileKernelParms.txt
drwxrwxrwt  root   root       Jan  : VMwareDnD
drwx------  oracle oinstall   Jan  : vmware-oracle
drwxr-xr-x  root   root       Jan  : vmware-root
drwx------  root   root       Jan  : vmware-root-

设置setuid/setgid/sticky权限可以通过chmod命令：

--用权限位表示
chmod u+s aa -- 为aa文件加上setuid标志. (setuid 只对文件有效)
chmod g+s test -- 为test目录加上setgid标志 (setgid 只对目录有效)
chmod o+t aa -- 为aa文件加上sticky标志 (sticky只对文件有效)

[root@std ~]# ll aa
-rw-r--r--  root root  Jan  : aa
[root@std ~]# chmod u+s aa
[root@std ~]# ll aa
-rwSr--r--  root root  Jan  : aa
[root@std ~]# ll -ld test
drwxr-xr-x  root root  Jan  : test
[root@std ~]# chmod g+s test
[root@std ~]# ll -ld test
drwxr-sr-x  root root  Jan  : test
[root@std ~]# chmod o+t aa
[root@std ~]# ll aa
-rwSr--r-T  root root  Jan  : aa

--用数字位表示

使用八进制方式在原先的数字前加一个数字，三个权限所代表的进制数与一般权限的方式类似，如下:

suid   guid    stick bit

1        1          1

所以这一组八进制数字三位的意义如：

suid的二进制串为：100，换算十进制为：4

guid的二进制串为:010,换算：2

stick bit 二进制串：001，换算：1

chmod 4755 aa -- 为aa文件加上setuid标志. (setuid 只对文件有效)

chmod 2755 test -- 为test目录加上setgid标志 (setgid 只对目录有效)

chmod 1755 aa -- 为aa文件加上sticky标志 (sticky只对文件有效)

[root@std ~]# rm -rf aa test
[root@std ~]# touch aa
[root@std ~]# ll aa
-rw-r--r--  root root  Jan  : aa
[root@std ~]# chmod  aa
[root@std ~]# ll aa
-rwsr-xr-x  root root  Jan  : aa
[root@std ~]# mkdir test
[root@std ~]# ll -ld test
drwxr-xr-x  root root  Jan  : test
[root@std ~]# chmod  test
[root@std ~]# ll -ld test
drwxr-sr-x  root root  Jan  : test
[root@std ~]# chmod  aa
[root@std ~]# ll aa
-rwxr-xr-t  root root  Jan  : aa

通过两次测试我们发现原来的执行标志x没有了且两次测试权限位有大小写区别。这是因为系统是这样规定的,
如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)