Linux 檔案權限

⇒

檔案擁有者和權限

1.0 檔案擁有者和權限
擁有者(ownership)
權限 (permissions)
目錄的權限
特殊權限
Sticky Bit
SGID (Set Group ID bit)
SUID (Set User ID Bit)
chmod 變更檔案的權限
數字表示法
符號表示法
連結檔的權限
umask 改變預設檔案權限
1.1 檔案屬性
chattr 變更檔案屬性
lsattr 顯示檔案屬性

1.0 檔案擁有者和權限
在檔案相關指令中有說過:「Linux 下的副檔名只供〝參考〞;例如 Linux 的執行檔不會像 Windows 用〝.exe〞為副檔名」。那 Linux 如何判斷那些檔案是執行檔?為什麼以一般的身份登入,有些目錄進不去?為什麼除了自己建的檔案,其餘的檔案都無法刪除?甚至是許多檔案不讓我讀取?一切都和檔案的〝擁有者〞(ownership) 和〝權限〞(permissions) 有關,講解之前我們來實際體驗一下吧。

例:(以一般的帳號登入測試,不要用〝root〞帳號登入哦,因 Superuser 不受權限規範)

$ cd /root ←進去目錄〝/root〞內玩玩
bash: cd: /root: Permission denied ←許可拒絕
$ cat /etc/shadow ←讀看看帳號密碼的資訊檔〝/etc/shadow〞
cat: /etc/shadow: Permission denied ←許可拒絕
$ cp /etc/shadow ~/ ←複製〝/etc/shadow〞看看
cp: cannot open '/etc/shadow' for reading: Permission denied ←許可拒絕
$ rm -f /bin/ls ←刪掉指令〝/bin/ls〞
rm: cannot remove `/bin/ls': Permission denied ←許可拒絕

擁有者(ownership)
因 Linux 是多人多工(multi-tasking,multi-user)的作業系統,也就是可很多人使用,所以一定要有某種機制來適當的隔離不同登入者檔案的讀、寫、執行和刪除,甚至是進入某個目錄,這種安全機制就是檔案的〝擁有者〞(ownership)和〝權限〞(permission)。

Linux 的檔案的擁有者類別可分〝user 或 owner〞(擁有者)、〝group〞(群組)和〝other〞(其他)各如下:

user 擁有者
預設的情況,檔案由那一帳號建立的,誰就是那檔案的使用者 (user )和擁有者(owner),故 user 也叫 owner,而只有檔案的擁有者和〝root〞,可自由的更改其權限。
group 群組
一至多個使用者帳號者可組成一團體即 group (群組),可類比為公司的部門或學校的班級或社團等,要怎麼組成一群組可自行規劃。當然也可一個帳號同時加入多個群組,檔案/目錄若屬某一群組所有,可設定若干的群組管理來規範。通常新建一帳號時會同時建立一個和帳號同名的群組,如想知自己的群組帳號名稱可用指令 groups 來查詢。
other 其他
沒規範在 owner 和 grouop 的都算是〝other〞(其他)。

Linux 登入的時候實際上有兩個身份,一個是登入者(user)另一是伴隨登入者的群組(group),而如有建立檔案,此檔會記錄這兩個身份。

例:

$ echo "hello Wold" > /tmp/myfile ←建立一檔案〝myfile〞
$ ls -l /tmp/myfile ←用 ls -l 列出冗長檔案資訊
-rw-rw-r-- 1 aaa aaa 11 2011-10-10 10:10 myfile ←紅字標記的為 user,綠字標記的為 group

^ back on top ^

權限(permissions)
檔案的權限(permissions),為擁有者(user/group/other)對此檔案是否有〝讀〞、〝寫〞或〝執行〞的能力(Linux 的執行檔可不是根據副檔名,而是執行檔也要有可〝執行〞的權限)。

而檔案的這些權限除了是否可〝執行〞對〝root〞有約束力外,其餘都無效。也就是說如以〝root〞登入會如入無人之境,想幹嘛都可,如刪除檔案或篡改內容。

回顧一下介紹 ls 指令時用 ls -l 列出冗長檔案資訊的例子,如下:

$ ls -l ←列出冗長檔案內容
drw-rw-r--	1	aaa	aaa	292	2011-09-07	11:44	myfile
↑		↑	↑
permission		user	group

上例中〝權限〞(permissions)欄位共列出 9 個字元,為了容易識別,刻意以不同的顏色顯示來說明,權限 9 個字元類似〝rwxrwxrwx〞,代表三個不同的擁有者意義如下:

前三個〝rwx〞代表〝擁有者〞(owner) 的權限。
中間三個〝rwx〞代表〝群組〞(group) 的權限。
最後三個〝rwx〞代表〝其他〞(other) 的權限。

檔案的權限欄位出現的英文字元〝r〞、〝w〞、〝x〞(〝rwx〞順序是固定的)代表對檔案的意義各為 read(讀),write(寫) 和 excute(執行)的權限,而没設定的權限則以〝-〞顯示。例如〝r--〞只有讀的權限。

下表為權限對檔案的作用:

權限	對檔案的作用
r (讀)	可查看該檔案的內容,如可用 cat 或 less 或其他工具來閱讀。
w (寫)	可變更其內容,如可用 vi 或累加重定向來變更檔案的內容。
x (執行)	如為執行檔則可被執行,但如是 shell script 額外還要有讀的權限才可被執行(因 shell 要讀取該檔)。

例:

$ ls -l /tmp/myfile
-rw-rw-r-- 1 aaa aaa 11 2011-10-10 10:10 myfile

上例 ls -l 輸出權限顯示為〝rw-rw-r--〞紅色字元第一個字元為〝r〞代表擁有者(此為帳號〝aaa〞)對此檔案有〝讀〞的權限,第二個字元為〝w〞代表擁有者對此檔案有〝寫〞的權限,第三個字元〝-〞,並沒有〝w〞,而是顯示〝-〞代表擁有者對此無執行的權限。
同樣的綠色字體代表〝aaa〞這群組對這檔案也有讀和寫但無執行的權限,而 other(其他)為沒規範在擁有者和群組者皆是,只能讀,不能寫。

接下來我們用不同的帳號來測試一下。

例:

$ echo "hello Wold" > /tmp/myfile ←建立一檔案〝myfile〞
$ ls -l /tmp/myfile ←驗證權限
-rw-rw-r-- 1 aaa aaa 15 2011-09-07 00:46 /tmp/myfile ← 同一 owner/group 可讀寫但 other 只可讀
$ cat /tmp/myfile←讀看看 (測試〝讀〞的權限)
Hello Wold
$ echo 'Hello Linux' >> /tmp/myfile ← 變更〝myfile〞的內容看看(測試〝寫〞的權限)
$ cat /tmp/myfile ←驗證看看
Hello World
Hello Linux
$ su bbb ←暫時變更其他的帳號
Password: ←輸入其帳號密碼
$ cat myfile ←測試〝讀〞的權限
Hello World ←此檔 other 有〝讀〞的權限,故其他人皆可讀取帳號 aaa 所建立的檔案
Hello Linux
$ echo 'Hello Unix' >> /tmp/myfile ←增加〝myfile〞的內容看看
bash: /tmp/myfile: Permission denied ←許可拒絕 (因〝other〞對此檔無〝寫〞的權限)

我們再來看其他的例子。

例:

$ ls -l /etc/shadow ←列出帳號密碼的資訊檔〝/etc/shadow〞的冗長檔案資訊
-r-------- 1 root root 1147 2011-09-07 11:47 /etc/shadow

上例中檔案〝/etc/shadow〞是帳號密碼的影子檔,內容雖都是 ASCII 所編碼的文字檔,但經〝明碼編暗碼〞加密過。由於此檔很重要,有可能會被駭客(Hacker)破解而知每個人帳號的登入密碼,故此檔的擁有者和群組都是〝root〞,而其權限顯示為〝r--------〞表示此檔就算是用〝root〞登入也只能讀不能寫,但不能寫對〝root〞而言是宣示大於實際,因帳號〝root〞特權無限大。

我們再來看看一般的執行檔其擁有者和權限長什麼樣。

例:

$ ls -l /bin/cat
-rwxr-xr-x 1 root root 23360 2007-10-31 11:52 /bin/cat

上例中 cat 這指令其擁有者和群組是〝root〞且可完全讀、寫、和執行,而非〝root〞的擁有者和群組使用此指令的人都算 other 只能讀和執行。

另外有些指令如 cp 會改變目的檔案的擁有者和群組,使之變成操作者所有,其目的是希望複製過來的檔案可完全掌控。

例:(請以一般帳號登入測試)

$ cp /bin/cat ~/ ←複製〝/bin/ls〞到家目錄
$ ls -l /bin/cat ~/cat ←列出此兩檔比較看看
-rwxr-xr-x 1 root root 23360 2007-10-31 11:52 /bin/cat
-rwxr-xr-x 1 aaa aaa 23360 2011-10-10 10:10 ./cat ←注意到沒,複製過來的檔案,擁有者和群組都變操作者所有

那要如何保持複製過來的檔案的原汁原味呢?例如備份系統檔時總不能連原擁有者和權限都把它改變了,萬一要復原系統時可就天下大亂。用 cp -a 或 cp -p 選項就能保持原檔案的擁有者和權限。

^ back on top ^

目錄的權限
目錄的權限和檔案的權限功能有些不一樣,如下表:

權限	對目錄的作用
r	列出目錄內的檔案或其子目錄(如用 ls 可顯示目錄內的檔案但並非可用 cat 來讀取目錄內的檔案)
w	增減或更名目錄內的檔案(如可對目錄內的檔案操作 rm 或 cp 或 mv 等)
x	進入目錄或執行目錄內的程式(如可 cd 進入目錄)

當然目錄的這些權限對〝root〞都沒有約束力。

例:

$ ls -l /home ←列出〝/home〞內所有家目權限
drwx------ 28 aaa aaa 4096 4096 2-11-10-11 15:41 aaa
drwx------ 3 bbb bbb 4096 4096 2-11-10-03 19:59 bbb
$ ls /home/bbb ←看別人家裡面有什麼東西?
ls: cannot open directory /home/bbb: Permission denied ←無許可權

上例中顯示每個人的家目錄的 owner 有〝x〞權限故可以自由進入自己的家目錄,且有〝rw〞權限故可列出和增減自己家目錄內的檔案,但其他帳號的使用者為 other 都會被擋在家門口(帳號〝root〞除外)。

特殊權限
權限設定雖可符合大部份的需求,但有灰色地帶;例如某檔案權限為〝rw- --- ---〞,照理說只有擁有者可變更檔案的內容,但 other 卻門戶洞開設為為〝--- --- -wx〞,其目錄的 other 權限有〝x〞(進入目錄的權限)和〝w〞(增減目錄內的檔案) ,這樣別人(other)好像也可進入目錄把不屬於擁有者的檔案刪除或改名。

檔案和目錄的權限互相矛盾要聽誰的?有法律就會有漏洞,有軟體就會有 bug,當然要想辦法防堵,那就是特殊權限的功用。

特殊權限借用權限〝x〞(執行)的位置來設定和顯示,如權限〝x〞的地方顯示〝t〞或〝s〞即表示設了特殊權限。

Sticky bit
如果某個目錄為公用目錄(如 /tmp) ,目錄的 other 權限為〝rwx〞,表示任何人都可進入目錄且增減目錄內的檔案,雖把放在該目錄內的檔案權限設為只有擁有者可讀和寫,如此雖可防別人(other)篡改或偷窺檔案的內容,但卻無法防止檔案被別人刪除或更名(因目錄權限 other 有〝w〞和〝x〞)。那如何防止公用目錄內的檔案被別人刪除或更名了,那就是 Sticky bit (簡稱 SBIT)的功能。

為目錄設 SBIT 目的為在公共目錄內的檔案只擁有者可刪除或更名(當然〝root〞除外),舉例說明:

例:

$ ls -ld /tmp
drwxrwxrwt 9 root root 4096 2011-10-16 12:11 /tmp ←注意 other 權限的〝rwx〞顯示為〝rwt〞, 那個小寫 t 就是 sticky bit

上例中目錄〝/tmp〞的權限就具有 sticky bit 的權限,其設了 Sticky bit 後權限的顯示為原 other〝x〞的地方會顯示〝t〞。

Sticky bit 只對目錄有效,對檔案沒作用。

例:(以一般帳號登入測試)

$ cd /tmp ←進入目錄〝/tmp〞
$ echo 'Hello' > file ←建立一檔案〝file〞
$ ls -l file ←用 ls -l 列出冗長檔案資訊
-rw-rw-r-- 1 aaa aaa 6 2011-10-10 10:10 file ←檔案的擁有者和群組都是〝aaa〞
$ su bbb ←用指令 su 暫時變更其他使用者
Password: (輸入其他使用者的帳號密碼)
$ mv file fileB ←以其他使用者來操作更名看看
mv: cannot move 'file' to 'fileB': Operation not permitted ←許可拒絕
$ rm -f file ←刪除不是屬於自己的檔案看看
rm: cannot remove 'file': Operation not permitted ←許可拒絕
$ exit ←回原登入者的帳號
$ mv -v file fileB ←更名看看
'file' -> 'FileB' ←成功了
$ rm -v fileB ←刪除看看
removed 'fileB' ←成功了

由以上的操作實驗可知 Sticky bit 的作用為公用目錄內保護私有的檔案。

SGID
SGID (Set Group ID bit),顧名思義〝Set Group ID〞是針對 Group 也就是群組,只可用在執行檔或目錄。如用在執行檔,會在執行該程式時暫時擁有該程式所擁有的 Group (群組),我們來看系統既有的 SGID 用在執行檔的例子。

例:

$ ls -l /usr/bin/wall
-r-xr-sr-x 1 root tty 10712 2007-10-11 03:54 /usr/bin/wall ←注意觀察,群組為 tty,但權限的〝x〞怎變〝小s〞,小寫的 s 如出現在群組就是 SGID

說明之前先說明 wall 這指令的用途,wall 是 write all 的縮寫,功能為傳送訊息給每一終端機 (tty)。例如某一帳戶在 tty1 登入輸入 wall 'Happy New Year' 或利用輸入重定向 wall < message_file,如同一時間有人在其他 tty 登入都會收到來自 tty1 登入者的廣播訊息。

但要收到某一 tty (終端機)的廣播訊息至少大家要同一群組才可辦到,故解決方法為誰執行了 wall 這指令(wall 這指令群組為 tty)不管登入者原群組是什麼都會暫時變該執行檔所屬的群組(此例的群組為 tty ,而 tty 群組為系統預設的)。當此指令一結束,就立刻回到原登入的群組。

類似有 SGID 的指令還有 /usr/bin/write、/usr/bin/locate 等。

SGID 檔案權限的顯示為原群組〝x〞的地方會顯示〝s〞。

如用在目錄,任何放進具有 SGID 目錄內的檔案都會變此目錄的群組,主要應用在群組協同工作。

SUID
SUID (Set User ID Bit)如其名是針對擁有者的特殊權限。SUID 只用在執行檔,如某執行檔具有 SUID,在執行該程式時暫時變該程式的所屬的擁有者,我們來看系統既有的 SUID 用在執行檔的例子。

例:

$ ls -l /usr/bin/chsh /etc/passwd ←列出〝/usr/bin/chsh〞和〝/etc/passwd〞檔案資訊
-rw-r--r-- 1 root root 1783 2015-07-21 16:58 /etc/passwd
-rws--x--x 1 root root 14472 2007-10-17 04:48 /usr/bin/chsh ←注意看,擁有者權限的〝小s〞就是 SUID

指令 chsh 用於變更或列出可用的 shell,變更 shell 時 chsh 會去改變設定檔〝/etc/passwd〞(此檔最後幾行定義每一帳號預設的 shell)。但問題來了,檔案〝/etc/passwd〞只有〝root〞有寫的權限如為一般的帳號怎可能可變更檔案〝/etc/passwd〞? 故解決之道就是把指令 chsh 設 SUID。故不論誰執行了此指令,執行時會暫時變該檔所屬的擁有者(〝root〞)就有權去更改檔案〝/etc/passwd〞。

類似有 SUID 的指令有　/bin/mount、usr/bin/passwd 等,SUID 檔案權限的顯示為原擁有者〝x〞的地方顯示〝s〞。

以下為特殊權限的用途和用法總覽:

特殊權限	檔案/目錄	作用	但書	ls -l 的權限顯示
Sticky bit	目錄	在具有 Sticky bit 的目錄內, 只有該檔的擁有者或〝root〞可以刪除或更名該檔	ohers 也要有〝x 〞權限	--- --- --t
Set Group ID	檔案	只針對執行檔,執行時會暫時變該檔案所屬的群組	group 也要有〝x 〞權限	--- --s ---
Set Group ID	目錄	任何放進目錄內的檔案都會變此目錄的群組	group 也要有〝x 〞權限	--- --s ---
Set User ID	檔案	只針對執行檔,執行時會暫時變該檔所屬的擁有者	user 也要有〝x 〞權限	--s --- ---

chmod 變更檔案的權限
指令 chmod (change mode)可改變檔案和目錄的權限和特殊權限,只有該檔的擁有者和〝root〞有權去更動其權限。

chmod 可接受〝數字表示法〞(Numberic representation)和〝符號表示法〞(Symbolic representation),這兩種用法的使用者比例旗鼓相當。數字表示法比較簡短,但如非工科的人員可能會對〝十進制轉二進制〞感到頭大,而符號表示法寫起來可能比較冗長。

數字表示法
chmod 的數字表示法的語法為〝chmod [-option][#]### [file directroy]〞,其中第一個〝#〞為特殊權限的數字,如沒設定可省略;而其後的〝###〞各為 onwer,group 和 other 這三者的權限(〝#〞為數字,範圍 0~7)。

權限有八種可能的狀態,以數字 0~7 來代表各可能的狀態如下:

權限數字表示法 (Numerical permissions)
#	權限(Permission)	rwx
7=111_BIN)	full	rwx
6=110 _BIN)	read & write	rw-
5=101 _(BIN)	read & execute	r-x
4=100 _(BIN)	read only	r--
3=011 _(BIN)	write & execute	-wx
2=010 _(BIN)	write only	-w-
1=001 _(BIN)	execute only	--x
0=000 _(BIN)	none	---

數字和權限的關係為數字的二進制位數如為〝0〞則權限為〝-〞,否則則各為〝rwx〞,例如數字 6_(DEC)=110 _(BIN)=rw-。

因數字 6 =〝rw-〞,而數字 4=〝r--〞,故如要設一檔案權限為〝rw- rw- r--〞指令為 chmod 664 file。

例:

$ echo 'hello world' > myfile ←建立一檔案〝myfile〞
$ ls -l myfile ←用 ls -l 列出冗長檔案資訊
-rw-rw-r-- 1 aaa aaa 12 2011-10-22 16:27 myfile ←預設的文字檔一般為 other 只可讀
$ chmod 660 myfile ←更改權限成〝-rw -rw- ---〞,也就是 other 不再能讀
$ ls -l myfile ←看一下權限改變了沒
-rw-rw---- 1 aaa aaa 12 2011-10-22 16:27 myfile

例:

$ chmod 777 file ←權限為 rwx rwx rwx
$ chmod 644 file ←權限為 rw- r-- r--
$ chmod -R 711 dir/ ←遞回改變目錄內所有的檔案權限
$ chmod 000 file ←權限為 --- --- ---,沒任權限,要幹嘛??如為檔案通常只要給〝root〞讀/寫(可能是機密文件)

那如何改變特殊權限呢?特殊權限數 4=SUID,2=SGID 而 1=SBIT,如下表。

特殊權限數字表示法
#	特殊權限
4=100 _(BIN)	SUID
2=010 _(BIN)	SGID
1=001 _(BIN)	SBIT

如要設定特殊權限其權數要加在原數字表示法中的最左字元,故共需四個數字來表示。

例:

$ cp /bin/cat ~/my_exec ←複製一個執行檔過來改造
$ chmod 4755 my_exec ←將執行檔的權限加 SUID (SUID 權數為 4)
$ ls -l my_exec ←確認一下
-rwsr-xr-x 1 aaa aaa 23360 2007-10-31 00:52 my_exec ←擁有者權限的〝小s〞就是 SUID

但特殊權限可不能亂設,不然可會產生無效的特殊權限。

例:(續上實驗)

$ echo "hello" > my_text ←製造一文字檔
$ chmod 4640 my_text ←變更文字檔權限,user 拿掉〝x〞權限,且加 SUID
$ chmod 1654 my_exec ←變更執行檔權限,other 拿掉〝x〞權限,且加 SBIT
# ls -l my_text my_exec ←冗長列出〝root_file〞和〝root_cat〞確認一下
-rw-r-wr-T 1 aaa aaa 23360 2007-10-31 00:52 my_exec ←SBIT 的小〝t〞變大〝T〞??
-rwSr----- 1 aaa aaa 6 2011-10-23 14:59 my_text ←SUID 的小〝S〞變大〝S〞??

上例中,特殊權限的顯示〝小s〞變〝大S 〞,〝小t〞變〝大T〞是怎一回事?原來特殊權如變大寫表示是無效的特殊權限。因同時相對應的〝x〞(執行)權限也要設定特殊權限才會生效(參考特殊權限的用途和用法總覽)。

例如要設定 SGID 有效, group 要設定〝x〞權限。但也不一定特殊權限顯示〝小s〞或〝小t〞就都用功能,因 SBIT 只對目錄有作用,SGID 和 SUID 對文字檔都沒功能,設了也是白設。

符號表示法
符號表示法相對就比數字表示法直覺,其語法為〝chmod [-option][ugoa][+-=][rwx][st] [file directroy]〞。

其中語法中的 [ugoa],〝u〞代表 user;〝g〞為 group;〝o〞是 other;〝a〞代表 all 即 u+g+o。(〝a〞如省略也是 u+g+o)
語法中 [+ - =],〝+〞表示增加權限;〝-〞減去權限;〝=〞為直接設定權限。
語法最後[st]為特殊權限,其中的〝s〞為 SUID 或 SGID,〝t〞為 Sticky bit。

用符號表示法時最好加選項〝-v〞或〝-c〞顯示異動權限的過程,好方便確認。

例:

$ chmod -v a=rw file ←設定檔案的 user,group,other 都有 rw 權限
mode of `file' changed to 0666 (rw-rw-rw-)
$ chmod -v =rw file ←同上(省略〝a〞)
$ chmod -v ug=rwx,o-r file ←user 和 group 權限為〝rwx〞,other 減去〝r〞權限
mode of `file' changed to 0772 (rwxrwx-w-)
$ chmod ug+x file ←owner 和 group 加〝w〞權限 (其餘沒變)
$ chmod u-x,g+rw file ←owner 減去〝x〞,group 加〝rx〞權限(其餘沒變)
$ chmod u+s file ←增加 SUID
$ chmod g-s file ←拿掉 SGID
$ chmod +t dir ←設定 SBIT (sticky bit 只能用在 other,故 o+t 中的〝o〞可省略)
$ chmod a=rwx,o+t dir ←設定目錄的 owner,group,other =〝rwx〞且加 Sticky bit

^ back on top ^

連結檔的權限
如是連結檔,其權限是要依據檔案的本尊還是其分身呢?如是符號連結檔,如用 ls -l 來查詢其權限永遠顯示〝lrwxrwxrwx〞。但其意義可不是任何人都可讀/寫/執行(進入目錄),而是〝完全依本尊的權限〞,如改變符號連結檔的權限,實際是改變原始檔的權限,而符號連結檔永遠不動如山的顯示〝lrwxrwxrwx〞。

如果是硬連結,因硬連結本來就是既是本尊也是分身,故改變本尊或分身的限權,本尊或分身的權限是一起變。

umask 改變預設檔案權限
如用一般身份登入建立一檔案,大部分的 Linux 發行版皆預設檔案的權限為〝rw- rw- r--〞(other 無寫的權限);如為 Superuser 所建立的檔案限制會多一點其檔案權限為〝rw- r-- r--〞(group 和 other 皆無寫的權限)。指令 umask 可變更建立檔案或目錄預設的權限。

例: (此為以一般身份測試,如用〝root〞身份測試,結果會有出入)

$ umask ←如沒任何選項,輸出為顯示建立檔案或目錄時的預設權限
0002

umask 輸出的數字對照下表為建立檔案或目錄的權限。

umask	建立檔案其權限	建立目錄其權限
000	666 (rw- rw- rw-)	777 (rwx rwx rwx)
002	664 (rw- rw- r--)	775 (rwx rwx r-x)
022	644 (rw- r-- r--)	755 (rwx r-x r-x)
027	640 (rw- r-- ---)	750 (rwx r-x ---)
077	600 (rw- --- ---)	700 (rwx --- ---)
277	400 (r-- --- ---)	500 (r-x --- ---)

由表可知 umask= 0002 代表建立檔案其權限為〝rw- rw- r--〞如為目錄其權限為〝rwx rwx r-x〞。

如果要改變建立檔案的預設權限,只要輸入 umask [#][###](〝#〞為數字,參考上表,而第一個〝#〞為特殊權限一般是不更動故保持 0)。

例: (此為以一般身份測試,如用〝root〞身份測試,結果會有出入)

$ umask ←看一下預設權限
0002
$ echo 'umask file1' > umask_0002 ←建立檔案〝umask_0002〞
$ umask 0027 ←改變一下預設權限為〝0027〞(rw- r-- ---)
$ umask ←確認看預設權限己改變了沒
0027 ←變〝0027〞了
$ echo 'umask file2' > umask_0027 ←用 umask=0027 建立檔案〝umask_0027〞
$ ls -l umask_0002 umask_0027 ←列出兩檔案的權限來比較看看
-rw-rw-r-- 1 aaa aaa 12 2011-10-10 10:10 umask_0002 ←注意比對兩個檔案的權限不一樣了
-rw-r----- 1 aaa aaa 12 2011-10-10 10:11 umask_0027

一般的應用查表就應夠了,如果想打破砂鍋問到底「為什麼 umask =0002,建立新的檔案其權限為〝rw- rw- r--〞」?可繼續看下去。

umask 是〝user mask〞的縮寫,而〝mask〞計算機工程中譯為〝遮罩〞,遮罩意義為〝經位元運算(bitwise operation)來改變某一 bit〞,其布林邏輯運算式(Boolean operators) 為〝Inital value & ~ umask value〞(initial value 檔案為 666,目錄為 777)或如下的邏輯電路運算。

linux umask

因一般建立的文字檔案沒執行的必要,故權限的數字表示法起始值(initial vale)為〝666〞(rw- rw- rw-)。
上個範例測試中把 umask=002,inital value=666 帶入運算式〝 666 & ~002〞運算結果為〝664〞 (rw-r--r--)。
另一例 umask=027 其 initial value 一樣是 666 帶入運算式〝666 & ~027〞=〝640〞 (rw- r-- ---)。

如建立的是目錄,因要求可進入此一目錄,故起始值為〝777〞(rwx rwx rwx)。
以 umask=002 為例帶入運算式〝777 & ~002〞=〝775〞 (rwx rwx r-x)。

^ back on top ^

1.1 檔案屬性

檔案的權限對帳號〝root〞而言都沒什約束力,因 root 有〝權限豁免權〞。故如不小心操作失誤如下達指令 rm -fr / (根目錄和所有子目錄和檔案都殺無赦),那 Linux 大概要往生了。那有沒有什麼方法來規範 root 呢?那就是〝檔案屬性〞(file attributes),檔案屬性可彌補 root 權力太大的危險。

chattr 變更檔案屬性
chatttr (change attribute)可變更 Linux 檔案的 16 種屬性,約只定義約 8~14 種(不同發行版本支援的屬性數和定義數可能不同)。用法和 chmod 有點類似,以〝+〞表示增加屬性;〝-〞減去屬性;〝=〞為直接設定屬性, 語法如下:

語法:chattr [-otpiton][+-=][mode] file/directroy
指令名稱/功能/命令使用者	選項	功能	mode的種屬性有[aAcdDisSu],意義各為
chattr/ (change attribute) 變更檔案屬性/ Any(主要 for Superuser)	-R	遞回改變檔案的屬性,將目錄下所有的檔案及子目錄一併異動屬性	〝a〞:用於檔案只能累加,不能刪除。用於目錄只能修改目錄內檔案的內容,但不能增減檔案。且只有〝root〞才可使用〝A〞:不更新檔案的 atime 〝c〞:存檔時自動壓縮檔案,讀取時自動解壓縮〝d〞:排除 dump 資料,即執行 dump 指令時會排除此檔〝D〞如目錄此設定,將緩衝記憶體的資料同步存到硬碟〝i〞:讓檔案具金剛不壞之身;包括不能刪除,更名,修改內容,變更權限等且只有〝root〞才可使用〝s〞:毀屍滅跡,當檔案被刪除時,該檔案的 block 會被填 0(讓有心人無法復原該檔) 〝S〞:存檔時不先寫入緩衝記憶體,直接寫進硬碟(效能較差,但比較可防止斷電時,檔案流失) 〝u〞:和〝s〞毀屍滅跡相反,當檔案被剛除時只刪除 inode,以利未來後悔〝可能〞可救回此檔
chattr/ (change attribute) 變更檔案屬性/ Any(主要 for Superuser)	-V	顯示異動屬性的過程

由 chattr 的 mode 用法可知許多的屬性都是為了規範〝root〞( Supperuser),如屬性〝a〞主要用於會累加的記錄檔,就算用〝root〞帳號都不能刪除此檔,而 mode 中的屬性〝i〞更是不能動此檔一根寒毛。

刪除某一檔案時,Linux 為了效能,只刪除檔案的 inode 並不會真正把資料(block)清除,如有保密資料,刪除時怕被還原加屬性〝s〞就對了。

實驗:(以〝root〞登入,測試)

# echo '123' > myfile ←建立檔案〝myfile〞
# chattr +a myfile ←設定〝a〞屬性只能累加,但不能刪除
# rm -f myfile ←刪除看看
rm: cannot remove `myfile': Operation not permitted ←許可拒絕
# echo '456' > myfile ←覆寫看看
bash: myfile: Operation not permitted ←許可拒絕
# echo '456' >> myfile ←累加看看
# cat myfile ←驗證一下
123
456
# chattr -V -a myfile ←減去〝a〞屬性就可被刪除
chattr 1.40.2 (12-Jul-2007)
Flags of myfile set as ----------------

例:(以〝root〞登入,測試)

# chattr =aAdS file ←設定檔案具有〝a〞,〝A〞,〝d〞,〝S〞屬性
# chattr -V +i -ad file ←將檔案增加〝i〞屬性並減去〝a〞,〝d〞屬性

lsattr 顯示檔案屬性
有時可能會遇到權限沒問題,但就是有某些檔案無法刪除或修改,此時可用 lsattr 來查看屬性是否被 chattr 變動過,lsattr 為 list attrbute 的縮寫,用來查閱檔案的屬性,用法如下:

語法:lsattr [-otpiton] file/directroy
指令名稱/功能/命令使用者	選項	功能
lsattr/ (list attrbute)顯示檔案屬性/ Any	-a	列出所有檔案和目錄,包括隱藏檔和工作目錄和上層目錄的屬性
	-d	只列出目錄屬性
	-R	遞回將目錄下的檔案和子目錄列出屬性

例:(以〝root〞登入,測試)

# echo > file
# chattr =aAdS file ←設定檔案具有〝a〞,〝A〞,〝d〞,〝S〞屬性
# lsattr file ←顯示檔案屬性
--S--adA-------- file

例:

# lsattr -a ←列出目錄內所有檔案的屬性(包含工作目錄和其父目錄)
-----a---------- ./. ←工作目錄的屬性
---------------- ./.. ←上層目錄的屬性
-----a---------- ./jun ←目錄內檔案的屬性

^ back on top ^