Linux中unmask的使用原理,永久生效

已于 2022-02-06 23:01:33 修改
阅读量4.4k 收藏 7
点赞数 1
分类专栏: Linux 文章标签: linux bash 运维
于 2021-11-01 15:47:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Code_LT/article/details/121077060
版权
本文详细解释了Linux系统中umask的作用及其对文件权限的影响。通过示例展示了如何使用umask来调整新创建文件的默认权限,并介绍了如何设置特殊权限如setuid、setgid和sticky位。此外,还提供了使umask设置永久生效的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先,查看自己当前unmask情况:

$ umask
0022

umask每一位对应的是一个八进制,转成二进制来说明,0022的二进制是 000 000 010 010

忽略掉开头的三个零(我们一会儿再讨论)

关键在于:掩码的二进制形式中,出现数字1的位置,表示关掉相应一个文件模式属性。为0的保持不变

预备知识点:linux的默认权限(无umask时的权限)都为目录777 — rwx rwx rwx,文件666 — rw- rw- rw-

举例1:

原文件权限— rw- rw- rw-
umask000 000 000 010
结果— rw- rw- r–

举例2:

原文件权限— rw- rw- rw-
umask000 000 010 010
结果— rw- r-- r–

所以,umask作用的是位置,可将umask理解成原权限要减去的权限:

umask=000
(rw-rw-rw-)-(---------)=rw-rw-rw-=666

umask=011
(rw-rw-rw-)-(-----x--x)=rw-rw-rw-=666

umask=022
(rw-rw-rw-)-(----w--w-)=rw-r--r--=644

umask=033
(rw-rw-rw-)-(----wx-wx)=rw-r--r--=644

umask=044
(rw-rw-rw-)-(---r--r--)=rw--w--w-=622

umask=055
(rw-rw-rw-)-(---r-xr-x)=rw--w--w-=622

其实本质上,是和默认权限做了NOT运算

例如:
666=0110 0110 0110
umask=000=0000 0000 0000 NOT运算 1111 1111 1111

0110 0110 0110
1111 1111 1111
------------------------------
0110 0110 0110=666

umask=011=0000 0001 0001 NOT运算 1111 1110 1110

0110 0110 0110
1111 1110 1110
------------------------------
0110 0110 0110=666

umask=022=0000 0010 0010 NOT运算 1111 1101 1101

0110 0110 0110
1111 1101 1101
------------------------------
0110 0100 0100=644

umask=033=0000 0011 0011 NOT运算 1111 1100 1100

0110 0110 0110 
1111 1100 1100
------------------------------
0110 0100 0100=644

开头的三个零

一些特殊权限

虽然我们通常看到一个八进制的权限掩码用三位数字来表示,但是从技术层面上来讲, 用四位数字来表示它更确切些。为什么呢?因为,除了读取,写入,和执行权限之外,还有 其它的,较少用到的权限设置。

其中之一是 setuid 位(八进制4000)。当应用到一个可执行文件时,它把有效用户 ID 从真正的用户(实际运行程序的用户)设置成程序所有者的 ID。这种操作通常会应用到 一些由超级用户所拥有的程序。当一个普通用户运行一个程序,这个程序由根用户(root) 所有,并且设置了 setuid 位,这个程序运行时具有超级用户的特权,这样程序就可以 访问普通用户禁止访问的文件和目录。很明显,因为这会引起安全方面的问题,所有可以 设置 setuid 位的程序个数,必须控制在绝对小的范围内。

第二个是 setgid 位(八进制2000),这个相似于 setuid 位,把有效用户组 ID 从真正的 用户组 ID 更改为文件所有者的组 ID。如果设置了一个目录的 setgid 位,则目录中新创建的文件 具有这个目录用户组的所有权,而不是文件创建者所属用户组的所有权。对于共享目录来说, 当一个普通用户组中的成员,需要访问共享目录中的所有文件,而不管文件所有者的主用户组时, 那么设置 setgid 位很有用处。

第三个是 sticky 位(八进制1000)。这个继承于 Unix,在 Unix 中,它可能把一个可执行文件 标志为“不可交换的”。在 Linux 中,会忽略文件的 sticky 位,但是如果一个目录设置了 sticky 位, 那么它能阻止用户删除或重命名文件,除非用户是这个目录的所有者,或者是文件所有者,或是 超级用户。这个经常用来控制访问共享目录,比方说/tmp。

这里有一些例子,使用 chmod 命令和符号表示法,来设置这些特殊的权限。首先, 授予一个程序 setuid 权限。

chmod u+s program

下一步,授予一个目录 setgid 权限:

chmod g+s dir

最后,授予一个目录 sticky 权限:

chmod +t dir

当浏览 ls 命令的输出结果时,你可以确认这些特殊权限。这里有一些例子。首先,一个程序被设置为setuid属性:

-rwsr-xr-x

具有 setgid 属性的目录:

drwxrwsr-x

设置了 sticky 位的目录:

drwxrwxrwt

永久生效

umask 命令设置的掩码值只能在当前 shell 会话中生效,若当前 shell 会话结束后,则必须重新设置。
怎样使掩码值永久生效?

/etc/profile 中加上如下:
umask 你需要的掩码值
然后重新登录

Linux——使用systemctl服务管理
WoodYangOY的博客
01-20 2598
Linux——使用systemctl管理服务 文章目录Linux——使用systemctl管理服务前言一、编写脚本二、配置service二、使用命令 前言 使用systemctl命令就可以进行服务的管理,再也不需要进行项目内使用ps -ef 一大串(其实本质上是一样的,只是简化了命令) 一、编写脚本 注意: ①java命令如果没有进行全局变量配置的需要进行路径配置 ②sh脚本需要赋予权限,否则不能使用 (赋权:chmod 777 xx.sh) #!/bin/bash JAR_PATH=/appl
Linux之防火墙详解
huaz_md的博客
03-12 2085
netfilter是一个工作在Linux内核的网络数据包处理框架,用于分析进入主机的网络数据包,将数据包的头部数据(硬件地址,软件地址,TCP,UDP,ICMP等)提取出来进行分析,来决定该连接为放行还是抵挡的机制,主要用于分析OSI七层协议的2,3,4层# 总结:# 放行服务:firewall-cmd --permanent --zone=public --add-service=服务名# 放行服务端口。
linux中权限管理命令详解(chmod/chown/chgrp/unmask)
01-09
Linux操作系统对多用户的管理,是非常繁琐的,所以用组的概念来管理用户就变得简单,每个用户可以在一个独立的组,每个组也可以有零个用户或者多个用户。本文给大家介绍linux中权限管理命令详解(chmod/chown/chgrp/unmask),具体内容如下: chmod 解释 命令名称:chmod 命令英文原意:change the permissions mode of a file 命令所在路径:/bin/chmod 执行权限:所有用户功能描述:改变文件或目录权限 语法 chmod [{ugoa}{+-=}{rwx}] [文件或目录] chmod [mode=421] [文件或目录
LINUX UMASK详解
上善若水 的专栏
11-07 2740
一 权限掩码umask umask是chmod配套的,总共为4位(gid/uid,属主,组权,其它用户的权限),不过通常用到的是后3个,例如你用chmod 755 file(此时这文件的权限是属主读(4)+写(2)+执行(1),同组的和其它用户有读和执行权限) 二 umask的作用 默认情况下的umask值是022(可以用umask命令查看),此时你建立的文件默认权限是644(6-0,6-2
Linux 命令unmask
weixin_43740223的博客
08-26 1446
新建文件夹或文件的权限是由所谓基本码减去称之为umask的屏蔽位得到的。 按照规约: 文件夹的基本码是rwxrwxrwx(777), 文件的基本码是rw-rw-rw-(666) 例如unmask 022 因此新建文件夹是777-022=755(rwxr-xr-x), 新建文件是666-022=644(rw-r–r--) ...
linux 权限_Linux 下一些特殊权限
weixin_39914868的博客
11-28 165
我在上篇文章中详细介绍了 Linux 下文件和目录的权限:EglinuxLinux 权限管理​zhuanlan.zhihu.com在介绍掩码 umask 的时候有提到高级权限,但是没有具体讲,今天我们就来看看这些特殊的权限是怎么样的。EglinuxLinux 权限管理​zhuanlan.zhihu.com这篇文章中,umask 掩码的使用的时候,都是用文件的原始权限减去掩码中后三位八进制数展开...
Linux中chmod和unmask权限的详解
木子李下的博客
09-05 1053
三个数字的含义,例如chmod 777,第一个7代表用户的权限,第二个7代表用户所属组的权限,第三个7代表该组外其他用户权限 读-r:4,写-w:2,执行-x:1,这是三种类型权限的数字,rwx=4+2+1=7,代表读写执行权限均有。 新建一个文件默认权限是644(-wr-r-r-),创建一个新目录,权限默认是755(-wrx-rx-rx-) 除了chmod,还有unmask这个命令可以改权限,比如unmask 022 touch,则意味着权限是644,unmask有屏蔽的意思,新建文件默认权限最高是66.
linux中的火墙策略优化
shanshuyue的博客
03-02 628
环境:三台主机,一台双网卡172网段和192网段,一台单网卡192网段,一台单网卡172网段,互相可以ping通 1、火墙介绍 netfilter iptables iptables| firewalld 2、火墙的工具切换 在rhel8中默认使用的是firewalld iptables #用来管理内核是它的插件,只可开启一个 #可用iptables和firewalld来管理 firewalld--------->iptables #切换 systemctl disable --now firewa
Linux中“防火墙”详解
因为觉得还太菜所以暂时不更新
11-18 1562
一.“防火墙”的概述 1、什么是“防火墙” 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络与其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 外网通过IP访问内网时,只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 2、“防火墙”的作用是什么 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安...
(六)linux中的进程管理
weixin_44717560的博客
10-22 723
linux中的进程管理一、进程和线程1、进程2、线程二、进程查看命令(man ps)1、图形查看进程2、ps命令1、psd风格2、unix风格3、pgrep和pidof 命令的用法 一、进程和线程 1、进程 程序是静态的代码文件;进程是指程序运行时的形态 进程是程序的一个副本(复制程序到内存,相当于副本) 进程是有生命周期的     准备期:准备资源(类似于执行“打扫教室任务”前,“拿扫把”)     运行期:执行过程     终止期:执行后程序所占用的系统资源被回
linux中的umask命令
weixin_30273931的博客
09-22 373
转载:http://blog.51cto.com/1123697506/882064 一 权限掩码umask umask是chmod配套的,总共为4位(gid/uid,属主,组权,其它用户的权限),不过通常用到的是后3个,例如你用chmod 755 file(此时这文件的权限是属主读(4)+写(2)+执行(1),同组的和其它用户有读写权限)二 umask的作用默认情况下的umask值是022(...
[Linux关键词]unmask,mv,dev/pts,stdin stdout stderr,echo
ormstq的博客
10-31 2252
umask一、定义与功能二、umask值的运算规则三、umask命令的使用四、umask与文件/目录权限的关系五、注意事项mv一、命令格式二、命令功能三、常用选项四、命令实例五、注意事项stdin stdout stderrstdin(标准输入流)stdout(标准输出流)stderr(标准错误流)stdin、stdout和stderrstdin(标准输入流)stdout(标准输出流)stderr(标准错误流)stdin、stdout和stderr的用途与重定向ls dev/pts echo
Linux umask权限
Andes Home 千年的塔 -十年技术,风雨兼程
10-26 6302
chmod  chown  chgrp =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--= #chmod #权限位XXX 0表示没有权限, 1表示可执行权限, =x 可执行一般具备可读权限 2表示可写权限,   =w 可写一般具备可读权限 4表示可读         =r #权限分类 用
umask
weixin_33695450的博客
07-31 157
功能说明:umask是通过八进制的数值来定义用户创建文件或目录的默认权限。 参数选项: -p 输出的权限掩码可以直接作为命令来执行。 -S 以字符方式输出权限掩码。 文件权限计算 创建文件默认最大的权限位666(-rw-rw-rw-),默认创建的文件没有可执行权限x位。 对于文件来说,umask的设置是在假定文件拥有八进制666的权限上进行的,文件的权限就是666减uma...
Linux Umask介绍
中华田园犬
01-21 1207
Linux Umask介绍 一 权限掩码umask umask是chmod配套的,总共为4位(gid/uid,属主,组权,其它用户的权限),不过通常用到的是后3个,例如你用chmod 755 file(此时这文件的权限是属主读(4)+写(2)+执行(1),同组的和其它用户有读写权限) 二 umask的作用 默认情况下的umask值是022(可以用umask命令查看),此时你建立的文件默认权限
Linux中的默认权限 umask
周杰伦
04-06 1965
umask:查看当前用户的umask权限; -S 选项 •0022---拿走的权限,022则是拿走用户组的w权限和拿走其他人的w权限,文件权限: 4 = r(读) ; 2 = w(写) ; 1 = x(执行) ; •第一个数字表示特殊权限 •022=rwxr-xr-x 那么创建文件的时候 默认的权限就会是 rwx r-x r-x 的权限. •默认创建文件和目录的权限,文件...
linux umask命令详解
会飞的鱼的博客
04-24 1282
umask命令的作用:当我们登录系统之后创建一个文件总是有一个默认权限的,那么这个权限是怎么来的呢?这就是umask干的事情。umask设置了用户创建文件的默认权限,它与chmod的效果刚好相反,umask设置的是权限“补码”,而chmod设置的是文件权限码。文件权限码:linux下的文件分为读(r),写(w),执行(x),分别对应数字4,2,1,如果一个文件具有所有用户完全的读写执行权限,那么他...
linux 如何开放9007端口防火墙
最新发布
04-29
### 如何在 Linux 系统中配置防火墙以开放 9007 端口 #### 启动并确认防火墙运行状态 为了确保可以正常操作防火墙,需验证 `firewalld` 是否正在运行。如果未启动,则需要手动启用。 ```bash systemctl status firewalld ``` 如果显示 `inactive (dead)`,则表示防火墙尚未启动。可以通过以下命令启动防火墙: ```bash systemctl start firewalld ``` 若遇到启动失败的情况,可能是由于服务被锁定所致。此时可尝试解锁服务后再重新启动: ```bash systemctl unmask firewalld.service systemctl start firewalld.service ``` 以上步骤能够解决大部分因服务锁定而导致的启动失败问题[^1]。 --- #### 添加端口到防火墙规则 要允许外部访问特定端口(如 9007),需要将其添加至防火墙规则中。以下是具体的操作方法: 通过 `firewall-cmd` 命令实现端口开放: ```bash firewall-cmd --add-port=9007/tcp --permanent ``` 此命令的作用是永久性地向防火墙规则中加入 TCP 协议下的 9007 端口,并标记为持久化存储以便于系统重启后仍然生效[^2]。 完成上述修改后,还需重载防火墙配置使更改立即生效: ```bash firewall-cmd --reload ``` 最后一步非常重要,因为只有当防火墙重新加载其配置文件时,新增加的内容才会被执行。 --- #### 查看端口是否成功开放 为了检验新添加的端口是否已经正确开放,可以查询当前活动中的所有监听端口号列表或者单独查找某个具体的端口是否存在其中: ```bash firewall-cmd --list-ports ``` 这会返回目前由防火墙管理的所有开放端口集合。假如之前所设的 9007 被列入其中,则说明设置无误;反之亦然。 另外也可以针对单个端口做进一步核查: ```bash firewall-cmd --query-port=9007/tcp ``` 如果输出结果为 `yes` 则代表该端口已被成功开启;如果是 `no` 就意味着可能存在问题需要排查原因[^2]。 --- #### 自定义场景下其他注意事项 对于某些特殊环境而言,除了基本的端口开放外还可能存在额外需求比如限定源地址范围等更精细控制措施,在这种情况下就需要利用更加复杂的参数组合来满足实际应用场景的要求了。 例如仅允许来自某一段 IP 地址区间内的客户端连接服务器上的这个端口: ```bash firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9007" accept' --permanent ``` 这条指令将会创建一条富规则,它规定只接受来自于 IPv4 类型网络里属于子网掩码长度为 24 的 192.168.1.x 子网内部发起的数据包请求到达目标主机上的 tcp 协议编号为 9007 的那个通信接口处[^2]。 随后同样记得再次刷新整个框架结构使之即时反映最新调整情况下来保障策略得以贯彻实施下去即可。 --- ### 总结 综上所述,通过一系列标准化流程就可以轻松达成让 linux 平台上面部署的服务程序对外界提供稳定可靠的服务接入能力的目的啦!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值