Umask权限掩码,控制系统的文件和目录的默认权限.

默认 022

默认目录权限计算方法777-022=755
默认文件权限计算方法666-022=644
umask掩码的3位每一位数字是否有(奇数),如果有奇数(奇数位+1)
结论:文件默认权限结论
1.权限从666开始计算
2.如果偶数,正常做减法
3.如果是奇数,奇数位加一
     针对目录默认权限。
1.权限从777开始计算。
2.和掩码正常做减法。
uid跟gid同名 且大于199  umask002   /etc/bashrc
/home/username    为700   控制/etc/login.defs
系统吧默认权限定位
默认644,目录755  
安全临界值
【有关权限生产环境应用案例及思路:】
运营电商 jd,站点目录给什么权限安全呢?
目录755
mkdir /data/html -p
ls -ld /data/html/
drwxr-xr-x. 2 root root 6 5月  21 11:07 /data/html/
web服务运行时候有一个【虚拟用户www】,
1)虚拟用户www 可进入可查看程序文件,不可以写、删文件。
useradd www
chown -R www.www /data/html
ls -ld /data/html
drwxr-xr-x. 2 www www 6 5月  21 11:07 /data/html  可以写、删文件

普通站点目录:【用户和组都是root,权限755】
 ls -ld /data/html
drwxr-xr-x. 2 root root 6 5月  21 11:07 /data/html/
mkdir /data/html/upload -p 存放图片,文件
ls -ld /data/html/upload/
drwxr-xr-x. 2 root root 6 5月  21 11:15 /data/html/upload/

图片、文件目录授权:【用户和组www,权限755】
chown -R www.www /data/html/upload/
ls -ld /data/html/upload/
drwxr-xr-x. 2 www www 6 5月  21 11:15 /data/html/upload/

解决upload上传目录安全:
1)不让上传:程序:控制这个目录上传的内容只能是.jpg,.zip。
2)不让执行:nginx:针对upload访问的时候,除了.jpg,.zip之外,不提供访问。
3)不让执行:动态服务器和静态服务器分离,访问的时候只有静态服务器(不安装PHP,java,python)
4)不让执行:磁盘上挂载的时候,设置禁止程序运行(二进制程序)。

特殊权限

suid(set uid)通过S字符标识

suid ==4000 八进制
针对用户u  S  有x变s
chmod  u+s    文件    撤销 u-s
chmod  4XXX   文件	
作用:
1.让普通用户对可执行的二进制文件,临时拥有二进制文件的用户的权限。
2.如果设置的二进制文件没有执行权限,那么suid的权限显示就是大S。 
suid极度危险

sgid(set gid)

将目录设置为sgid后,如果在该目录下创建文件,都将与该目录的所属组保持一致
sgid==2000  
针对用户组g  S  有x变s
chmod  g+s    目录/文件  撤销g-s
chmod  2XXX    目录
1.针对用户组权限位修改,用户创建的目录或文件所属组和该目录的所属组一致。
2.当某个目录设置了sgid后,在该目录中新建的文件不在是创建该文件的默认所属组
3.使用sgid可以使得多个用户之间共享一个目录的所有文件变得简单。

sbit(粘滞位)

普通用户对该目录拥有 w 和 x 权限,即普通用户可以在此目录中拥有写入权限。如果没有粘滞位,那么普通用户拥有 w 权限,就可以删除此目录下的所
有文件,包括其他用户建立的文件。但是一旦被赋予了粘滞位,除了 root 可以删除所有文件,普通用户就算拥有 w 权限,也只能删除自己建立的文件,
而不能删除其他用户建立的文件。
sbit==1000
针对其他用户o  T  有x变t
chmod 1755  目录
chmod o+t  目录  撤销o-t
作用:
1.让多个用户都具有写权限的目录,并让每个用户只能删自己的文件。
2.特殊sticky目录表现在others的x位,用小t表示,如果没有执行权限是T
3.一个目录即使它的权限为"777"如果是设置了粘滞位,除了目录的属主和"root"用户有权限删除,除此之外其他用户都不允许删除该目录。
posted on 2021-06-09 19:36  晨曦日出  阅读(73)  评论(0编辑  收藏  举报