Linux之文件(目录)默认权限、特殊权限与隐藏权限

文件默认权限

从Linux之用户组、文件权限详解了解到文件与目录的基本权限管理，文件在创建时如果不指定具体的权限，那么系统会给它分配一个默认的权限，这个默认权限就是umask。

vbird@Ubuntu1604:~$ umask   //我们可以使用umask命令来查看默认权限

第1个0是特殊默认权限，可以先不用管。后面002就是我们创建文件/目录的默认权限。由于普通文件默认没有可执行权限，即只有r、w权限，所以权限最大为666(-rw-rw-rw-)。目录需要进入访问权限，需要有r、w、x权限，所以权限最大为777(drwxrwxrwx)。而umask是该默认值需要减去的权限，此时，umask为002(第1个0先不管)，普通文件默认权限=(-rw-rw-rw-)-(--------w-)=664(-rw-rw-r--)，目录默认权限=(drwxrwxrwx)-(--------w-)=775(drwxrwxr-x)。

vbird@Ubuntu1604:~$ touch aa
vbird@Ubuntu1604:~$ mkdir bb
vbird@Ubuntu1604:~$ ls -l
total
-rw-rw-r--  vbird vbird     9月    : aa
drwxrwxr-x  vbird vbird  9月    : bb

刚才使用umask查看到默认权限是0002，linux中除了常见的读（r）、写（w）、执行（x）权限以外，还有3个特殊的权限，分别是setuid、setgid和stick bit，就对应着第1个0值。

文件特殊权限：SUID、SGID、SBIT

setuid：SUID，全称为set UID，在高位起第三位上表现为s。

当我们普通用户使用passwd进行修改密码的时候，passwd会去访问/etc/shadow，但是普通用户根本没有读写的权限，那怎么办呢？linux在我们运行passwd修改密码的时候，会暂时获取/etc/shadow文件拥有者root的权限，然后对/etc/shadow进行读写访问，访问完之后释放文件拥有者的权限。这就是setuid的魅力。简单来说就是，使用者暂时获取文件(目录)拥有者的权限，使用完再释放。

setgid：SGID和SUID类似，在高起第六位上表现为s。

SGID改变的是执行者的所属组，可以对可执行文件和目录设置。通过对目录设置SGID属性，可以使得访问在该目录下创建的所有文件的所有权，都继承原目录的所有者，而非创建者。因为一旦有用户进入到该目录下，由于具有SGID权限，进入目录后的用户就会变成该目录的所有者，在该目录下创建的所有文件，都以该目录的所有者的身份创建。

利用好这个权限位在很多团队合作的项目上更加方便管理。比如一个共同维护的数据文件夹，为了方便管理，只允许管理员对里面的数据具有改变和删除的权利，但是却有很多用户需要有在该目录下添加数据文件的权利，利用SGID可以很好的解决这一点。

stick bit：SBID权限同样只对目录有效，在权限位的最低位表现为t。

通过对目录设置SBID权限，并且该目录的权限为777，则所有用户可以在该目录下都可以创建文件，并且文件所有者是自己。但是在SBID权限的目录下，只有root和文件的所有者才能删除该文件，即使文件的属性为777也不能被其他用户删除。这个权限在共享过程中非常实用。共享的文件任何人都有读写的权利，但是只有文件的所有者才能删除该文件。

SUID/SGID/SBIT权限设置

SUID数值为4，SGID数值为2，SBIT数值为1，umask中默认权限中的从左往右第1个值为SUID/SGID/SBIT权限。

文件隐藏权限

除了以上权限外，linux还提供了一套隐藏权限机制。需要使用chattr设置隐藏权限，lsattr查看隐藏权限。

命令功能：

查看文件的隐藏权限

命令格式：

lsattr [ -RVadv ] [ files...  ]

命令参数：

-R  递归查看目录下文件

-V  显示程序的版本

-a  不忽略以“.”开头的隐藏文件

-v  列出文件的版本号和生成号

命令实例：

见chattr

命令功能：

查看文件的隐藏权限

命令格式：

chattr [ -RVf ] [ -v version ] [ mode ] files...

命令参数：

+-=　：分别为 [+ 增加] [- 减少] [= 设定] 属性的意思
A　　：当设定了 A 这个属性时，这个档案(或目录)的访问时间atime (access) 将不可被修改， 可避免例如手提式计算机容易有磁盘 I/O 错误的情况发生！
S　　：这个功能有点类似 sync 的功能！就是会将数据同步写入磁盘当中！可以有效的避免数据流失！
a　　：当设定 a 之后，这个档案将只能增加数据，而不能删除，只有 root 才能设定这个属性。
c　　：这个属性设定之后，将会自动的将此档案压缩，在读取的时候将会自动解压缩出来，但是在储存的时候，将会先进行压缩之后再储存（看来对于大档案似乎蛮有用的！）
d　　：当 dump (备份)程序被执行的时候，设定 d 属性将可使该档案(或目录)具有 dump 功效！
i　　：这个 i 可就很厉害了！他可以让一个档案不能被删除、改名、设定连结也无法写入或新增数据！对于系统安全性有相当大的帮助！ （只有root才能设置）
j　　：当使用 ext3 这个档案系统格式时，设定 j 属性将会使档案在写入时先记录在 journal 中！ 但是当 filesystem 设定参数为 data=journalled 时，由于已经设定了日志了，所以这个属性无效！
s　　：当档案设定了 s 参数时，他将会被完全的移除出这个硬盘空间。
u　　：与 s 相反的，当使用 u 来设定档案时，则数据内容其实还存在磁盘中，可以使用来找回该文件。

-R  递归查看目录下文件

-V  显示程序的版本

-v  列出文件的版本号和生成号

备注：chattr命令很多设置必须root才能设置

命令实例：

1.新建1个文件aa，然后设置隐藏权限i使之不能被删除。（只有root才能执行此操作）

root@Ubuntu1604:/home/vbird# touch aa
root@Ubuntu1604:/home/vbird# lsattr aa
-------------e-- aa
root@Ubuntu1604:/home/vbird# chattr +i aa
root@Ubuntu1604:/home/vbird# lsattr aa
----i--------e-- aa
root@Ubuntu1604:/home/vbird# rm aa
rm: cannot remove 'aa': Operation not permitted
root@Ubuntu1604:/home/vbird# chattr -i aa
root@Ubuntu1604:/home/vbird# rm aa
root@Ubuntu1604:/home/vbird# ls aa
ls: cannot access 'aa': No such file or directory