Linux中unmask的使用原理,永久生效

原创 已于 2022-02-06 23:01:33 修改 · 4.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #bash #运维

于 2021-11-01 15:47:25 首次发布
本文详细解释了Linux系统中umask的作用及其对文件权限的影响。通过示例展示了如何使用umask来调整新创建文件的默认权限,并介绍了如何设置特殊权限如setuid、setgid和sticky位。此外,还提供了使umask设置永久生效的方法。

首先,查看自己当前unmask情况:

$ umask
0022

umask每一位对应的是一个八进制,转成二进制来说明,0022的二进制是 000 000 010 010

忽略掉开头的三个零(我们一会儿再讨论)

关键在于:掩码的二进制形式中,出现数字1的位置,表示关掉相应一个文件模式属性。为0的保持不变

预备知识点:linux的默认权限(无umask时的权限)都为目录777 — rwx rwx rwx,文件666 — rw- rw- rw-

举例1:

原文件权限— rw- rw- rw-
umask000 000 000 010
结果— rw- rw- r–

举例2:

原文件权限— rw- rw- rw-
umask000 000 010 010
结果— rw- r-- r–

所以,umask作用的是位置,可将umask理解成原权限要减去的权限:

umask=000
(rw-rw-rw-)-(---------)=rw-rw-rw-=666

umask=011
(rw-rw-rw-)-(-----x--x)=rw-rw-rw-=666

umask=022
(rw-rw-rw-)-(----w--w-)=rw-r--r--=644

umask=033
(rw-rw-rw-)-(----wx-wx)=rw-r--r--=644

umask=044
(rw-rw-rw-)-(---r--r--)=rw--w--w-=622

umask=055
(rw-rw-rw-)-(---r-xr-x)=rw--w--w-=622

其实本质上,是和默认权限做了NOT运算

例如:
666=0110 0110 0110
umask=000=0000 0000 0000 NOT运算 1111 1111 1111

0110 0110 0110
1111 1111 1111
------------------------------
0110 0110 0110=666

umask=011=0000 0001 0001 NOT运算 1111 1110 1110

0110 0110 0110
1111 1110 1110
------------------------------
0110 0110 0110=666

umask=022=0000 0010 0010 NOT运算 1111 1101 1101

0110 0110 0110
1111 1101 1101
------------------------------
0110 0100 0100=644

umask=033=0000 0011 0011 NOT运算 1111 1100 1100

0110 0110 0110 
1111 1100 1100
------------------------------
0110 0100 0100=644

开头的三个零

一些特殊权限

虽然我们通常看到一个八进制的权限掩码用三位数字来表示,但是从技术层面上来讲, 用四位数字来表示它更确切些。为什么呢?因为,除了读取,写入,和执行权限之外,还有 其它的,较少用到的权限设置。

其中之一是 setuid 位(八进制4000)。当应用到一个可执行文件时,它把有效用户 ID 从真正的用户(实际运行程序的用户)设置成程序所有者的 ID。这种操作通常会应用到 一些由超级用户所拥有的程序。当一个普通用户运行一个程序,这个程序由根用户(root) 所有,并且设置了 setuid 位,这个程序运行时具有超级用户的特权,这样程序就可以 访问普通用户禁止访问的文件和目录。很明显,因为这会引起安全方面的问题,所有可以 设置 setuid 位的程序个数,必须控制在绝对小的范围内。

第二个是 setgid 位(八进制2000),这个相似于 setuid 位,把有效用户组 ID 从真正的 用户组 ID 更改为文件所有者的组 ID。如果设置了一个目录的 setgid 位,则目录中新创建的文件 具有这个目录用户组的所有权,而不是文件创建者所属用户组的所有权。对于共享目录来说, 当一个普通用户组中的成员,需要访问共享目录中的所有文件,而不管文件所有者的主用户组时, 那么设置 setgid 位很有用处。

第三个是 sticky 位(八进制1000)。这个继承于 Unix,在 Unix 中,它可能把一个可执行文件 标志为“不可交换的”。在 Linux 中,会忽略文件的 sticky 位,但是如果一个目录设置了 sticky 位, 那么它能阻止用户删除或重命名文件,除非用户是这个目录的所有者,或者是文件所有者,或是 超级用户。这个经常用来控制访问共享目录,比方说/tmp。

这里有一些例子,使用 chmod 命令和符号表示法,来设置这些特殊的权限。首先, 授予一个程序 setuid 权限。

chmod u+s program

下一步,授予一个目录 setgid 权限:

chmod g+s dir

最后,授予一个目录 sticky 权限:

chmod +t dir

当浏览 ls 命令的输出结果时,你可以确认这些特殊权限。这里有一些例子。首先,一个程序被设置为setuid属性:

-rwsr-xr-x

具有 setgid 属性的目录:

drwxrwsr-x

设置了 sticky 位的目录:

drwxrwxrwt

永久生效

umask 命令设置的掩码值只能在当前 shell 会话中生效,若当前 shell 会话结束后,则必须重新设置。
怎样使掩码值永久生效?

/etc/profile 中加上如下:
umask 你需要的掩码值
然后重新登录

Linux之进程掩码 umask
qq_57289939的博客
06-14 1733
在用户登录Linux系统环境下,设置用户创建目录和文件的初始化权限。Linux文件的最大权限是。chmode的命令格式一样。
Linux——使用systemctl服务管理
WoodYangOY的博客
01-20 2640
Linux——使用systemctl管理服务 文章目录Linux——使用systemctl管理服务前言一、编写脚本二、配置service二、使用命令 前言 使用systemctl命令就可以进行服务的管理,再也不需要进行项目内使用ps -ef 一大串(其实本质上是一样的,只是简化了命令) 一、编写脚本 注意: ①java命令如果没有进行全局变量配置的需要进行路径配置 ②sh脚本需要赋予权限,否则不能使用 (赋权:chmod 777 xx.sh) #!/bin/bash JAR_PATH=/appl
linux中权限管理命令详解(chmod/chown/chgrp/unmask)
09-14
主要介绍了linux中权限管理命令详解(chmod/chown/chgrp/unmask)的相关知识,通过示例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
LINUX UMASK详解
上善若水 的专栏
11-07 2795
一 权限掩码umask umask是chmod配套的,总共为4位(gid/uid,属主,组权,其它用户的权限),不过通常用到的是后3个,例如你用chmod 755 file(此时这文件的权限是属主读(4)+写(2)+执行(1),同组的和其它用户有读和执行权限) 二 umask的作用 默认情况下的umask值是022(可以用umask命令查看),此时你建立的文件默认权限是644(6-0,6-2
Linux 命令unmask
weixin_43740223的博客
08-26 1558
新建文件夹或文件的权限是由所谓基本码减去称之为umask的屏蔽位得到的。 按照规约: 文件夹的基本码是rwxrwxrwx(777), 文件的基本码是rw-rw-rw-(666) 例如unmask 022 因此新建文件夹是777-022=755(rwxr-xr-x), 新建文件是666-022=644(rw-r–r--) ...
linux 权限_Linux 下一些特殊权限
weixin_39914868的博客
11-28 183
我在上篇文章中详细介绍了 Linux 下文件和目录的权限:EglinuxLinux 权限管理​zhuanlan.zhihu.com在介绍掩码 umask 的时候有提到高级权限,但是没有具体讲,今天我们就来看看这些特殊的权限是怎么样的。EglinuxLinux 权限管理​zhuanlan.zhihu.com这篇文章中,umask 掩码的使用的时候,都是用文件的原始权限减去掩码中后三位八进制数展开...
Linux之防火墙详解
huaz_md的博客
03-12 2259
netfilter是一个工作在Linux内核的网络数据包处理框架,用于分析进入主机的网络数据包,将数据包的头部数据(硬件地址,软件地址,TCP,UDP,ICMP等)提取出来进行分析,来决定该连接为放行还是抵挡的机制,主要用于分析OSI七层协议的2,3,4层# 总结:# 放行服务:firewall-cmd --permanent --zone=public --add-service=服务名# 放行服务端口。
linux中的火墙策略优化
shanshuyue的博客
03-02 669
环境:三台主机,一台双网卡172网段和192网段,一台单网卡192网段,一台单网卡172网段,互相可以ping通 1、火墙介绍 netfilter iptables iptables| firewalld 2、火墙的工具切换 在rhel8中默认使用的是firewalld iptables #用来管理内核是它的插件,只可开启一个 #可用iptables和firewalld来管理 firewalld--------->iptables #切换 systemctl disable --now firewa
Linux中“防火墙”详解
因为觉得还太菜所以暂时不更新
11-18 1599
一.“防火墙”的概述 1、什么是“防火墙” 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络与其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 外网通过IP访问内网时,只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 2、“防火墙”的作用是什么 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安...
(六)linux中的进程管理
weixin_44717560的博客
10-22 751
linux中的进程管理一、进程和线程1、进程2、线程二、进程查看命令(man ps)1、图形查看进程2、ps命令1、psd风格2、unix风格3、pgrep和pidof 命令的用法 一、进程和线程 1、进程 程序是静态的代码文件;进程是指程序运行时的形态 进程是程序的一个副本(复制程序到内存,相当于副本) 进程是有生命周期的     准备期:准备资源(类似于执行“打扫教室任务”前,“拿扫把”)     运行期:执行过程     终止期:执行后程序所占用的系统资源被回
Linux中chmod和unmask权限的详解
木子李下的博客
09-05 1131
三个数字的含义,例如chmod 777,第一个7代表用户的权限,第二个7代表用户所属组的权限,第三个7代表该组外其他用户权限 读-r:4,写-w:2,执行-x:1,这是三种类型权限的数字,rwx=4+2+1=7,代表读写执行权限均有。 新建一个文件默认权限是644(-wr-r-r-),创建一个新目录,权限默认是755(-wrx-rx-rx-) 除了chmod,还有unmask这个命令可以改权限,比如unmask 022 touch,则意味着权限是644,unmask有屏蔽的意思,新建文件默认权限最高是66.
linux中的umask命令
weixin_30273931的博客
09-22 390
转载:http://blog.51cto.com/1123697506/882064 一 权限掩码umask umask是chmod配套的,总共为4位(gid/uid,属主,组权,其它用户的权限),不过通常用到的是后3个,例如你用chmod 755 file(此时这文件的权限是属主读(4)+写(2)+执行(1),同组的和其它用户有读写权限)二 umask的作用默认情况下的umask值是022(...
[Linux关键词]unmask,mv,dev/pts,stdin stdout stderr,echo
ormstq的博客
10-31 2565
umask一、定义与功能二、umask值的运算规则三、umask命令的使用四、umask与文件/目录权限的关系五、注意事项mv一、命令格式二、命令功能三、常用选项四、命令实例五、注意事项stdin stdout stderrstdin(标准输入流)stdout(标准输出流)stderr(标准错误流)stdin、stdout和stderrstdin(标准输入流)stdout(标准输出流)stderr(标准错误流)stdin、stdout和stderr的用途与重定向ls dev/pts echo
Linux umask权限
Andes Home 千年的塔 -十年技术,风雨兼程
10-26 6321
chmod  chown  chgrp =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--= #chmod #权限位XXX 0表示没有权限, 1表示可执行权限, =x 可执行一般具备可读权限 2表示可写权限,   =w 可写一般具备可读权限 4表示可读         =r #权限分类 用
umask
weixin_33695450的博客
07-31 171
功能说明:umask是通过八进制的数值来定义用户创建文件或目录的默认权限。 参数选项: -p 输出的权限掩码可以直接作为命令来执行。 -S 以字符方式输出权限掩码。 文件权限计算 创建文件默认最大的权限位666(-rw-rw-rw-),默认创建的文件没有可执行权限x位。 对于文件来说,umask的设置是在假定文件拥有八进制666的权限上进行的,文件的权限就是666减uma...
Linux Umask介绍
中华田园犬
01-21 1233
Linux Umask介绍 一 权限掩码umask umask是chmod配套的,总共为4位(gid/uid,属主,组权,其它用户的权限),不过通常用到的是后3个,例如你用chmod 755 file(此时这文件的权限是属主读(4)+写(2)+执行(1),同组的和其它用户有读写权限) 二 umask的作用 默认情况下的umask值是022(可以用umask命令查看),此时你建立的文件默认权限
Linux中的默认权限 umask
周杰伦
04-06 2004
umask:查看当前用户的umask权限; -S 选项 •0022---拿走的权限,022则是拿走用户组的w权限和拿走其他人的w权限,文件权限: 4 = r(读) ; 2 = w(写) ; 1 = x(执行) ; •第一个数字表示特殊权限 •022=rwxr-xr-x 那么创建文件的时候 默认的权限就会是 rwx r-x r-x 的权限. •默认创建文件和目录的权限,文件...
Mint系统永久关闭日志
最新发布
11-20
<think> 嗯,用户这次的问题是关于在Linux Mint系统中永久关闭日志服务的具体方法。之前用户提到过"永久关闭"这个关键词,说明ta需要彻底禁用而非临时暂停日志功能,这通常出现在对系统隐私性要求极高或需要释放磁盘/内存资源的场景。 从技术角度看,Linux Mint使用systemd-journald作为默认日志系统,但用户也可能指传统的rsyslog服务。需要区分两种情况:如果是桌面用户想减少后台活动,禁用systemd-journald即可;但若是服务器环境,可能需要同时处理rsyslog。考虑到Mint的桌面系统定位,优先处理journald更合理。 关于禁用journald的安全风险需要明确警告:系统故障时将失去排查依据。因此操作步骤中必须包含恢复方案,比如第4步的应急命令。实测发现仅停止服务不够(重启会恢复),必须用systemctl mask彻底禁用,这个细节容易遗漏。 用户没有说明权限状况,所以sudo前缀要显式标注。命令中的--now参数组合也很关键,它能同步停止当前运行的服务,避免用户分步执行出错。最后添加清理磁盘步骤是必要的,因为已有日志可能占数GB空间——这点普通教程常忽略。 突然想到个隐患:某些应用依赖日志服务,禁用可能导致崩溃。但权衡后决定不增加复杂度,因这类情况极少,可在注意事项里提示。替代方案如限制日志大小可能更安全,但不符合用户"永久关闭"的明确要求。 </think> 在 Linux Mint 中永久禁用系统日志服务(主要是 `systemd-journald`)需要谨慎操作,因为日志对系统诊断至关重要。以下是具体步骤及注意事项: --- ### **永久禁用 systemd-journald 日志服务** 1. **停止当前日志服务** 打开终端执行: ```bash sudo systemctl stop systemd-journald.service systemd-journald.socket ``` 2. **禁止服务开机自启** 使用 `mask` 命令彻底禁用服务(比 `disable` 更彻底): ```bash sudo systemctl mask systemd-journald.service systemd-journald.socket ``` 3. **禁用内核日志转发**(可选) 防止内核消息写入日志: ```bash sudo sysctl -w kernel.printk="3 4 1 3" echo "kernel.printk = 3 4 1 3" | sudo tee /etc/sysctl.d/50-nojournal.conf ``` 4. **禁用 syslog 服务**(如安装) 若使用 `rsyslog` 或 `syslog-ng`: ```bash sudo systemctl mask rsyslog.service # 或 syslog-ng.service ``` --- ### **清理现有日志** 释放已占用的磁盘空间: ```bash sudo journalctl --vacuum-size=1 # 仅保留1MB日志 sudo rm -rf /var/log/journal/* # 删除日志目录 ``` --- ### **注意事项** 1. **系统诊断失效** 禁用后系统故障将无法通过日志排查,需依赖实时命令输出(如 `dmesg`)[^1]。 2. **服务依赖风险** 部分程序依赖日志服务,可能导致异常崩溃。 3. **临时恢复方法** 紧急调试时临时启用: ```bash sudo systemctl unmask systemd-journald.service sudo systemctl start systemd-journald ``` --- ### **替代方案(推荐)** 更安全的做法是**限制日志大小**而非完全禁用: ```bash # 编辑配置文件 sudo nano /etc/systemd/journald.conf # 添加限制参数 [Journal] SystemMaxUse=10M # 最大磁盘占用 RuntimeMaxUse=5M # 内存占用上限 MaxRetentionSec=1h # 日志保留1小时 ``` 执行 `sudo systemctl restart systemd-journald` 生效。 > ⚠️ **重要提醒**:生产环境强烈不建议完全禁用日志,上述操作仅适用于特定隐私或资源受限场景。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值