粘滞位在有些地方也称为粘着位( sticky bit)。
这是和linux 权限系统息息相关的问题。
一、默认权限的由来
当你创建一个文件时,文件的是什么权限?这些权限是怎么来的?
umask命令用来设置所创建文件和目录的默认权限
]# touch newfile ]# ll total 0 -rw-r--r-- 1 root root 0 Oct 31 10:46 newfile ]# umask 0022
第一位代表了一项特别的安全特性,叫作粘着位( sticky bit)
后面的3位表示文件或目录对应的umask八进制值。
要理解umask是怎么工作的,得先理解八进制模式的安全性设置。八进制模式的安全性设置先获取这3个rwx权限的值,然后将其转换成3位二进制值,用一个八进制值来表示。在这个二进制表示中,每个位置代表一个二进制位。
因此,如果读权限是唯一置位的权限,权限值就是r--,转换成二进制值就是100,代表的八进制值是4。
下面是部分组合
八进制模式先取得权限的八进制值,然后再把这三组安全级别(属主、属组和其他用户)的八进制值顺序列出。因此,八进制模式的值664代表属主和属组成员都有读取和写入的权限,而其他用户都只有读取权限。
这下应该理解chmod 777 目录/文件 是啥意思了吧
这样看起起来chmod 664 是比较安全的。
我的Linux系统上默认的八进制的umask值是0022,而我所创建的文件的八进制权限却是644,这是如何得来的呢?
umask值只是个掩码。它会屏蔽掉不想授予该安全级别的权限。
要把umask值从对象的全权限值中减掉。对文件来说,全权限的值是666(所有用户都有读和写的权限);而对目录来说,则是777(所有用户都有读、写、执行权限)。
对目录来说其执行权限就是打开这个目录的权限。
所以在上例中,文件newfile一开始的权限是666, 减去umask值022之后, 剩下的文件权限就成了644。
用umask命令为默认umask设置指定一个新值
]# umask 026 ]# touch newfile2 ]# ll total 0 -rw-r--r-- 1 root root 0 Oct 31 10:46 newfile -rw-r----- 1 root root 0 Oct 31 11:12 newfile2
-rw-r----- 1 root root 0 Oct 31 11:12 newfile2
在把umask值设成026后,默认的文件权限变成了640,因此新文件现在对组成员来说是只读的,而系统里的其他成员则没有任何权限
umask值同样会作用在创建目录上
$ mkdir newdir
$ ls -l
drwxr-x--x 2 rich rich 4096 Sep 20 20:11 newdir/
$
由于目录的默认权限是777, umask作用后生成的目录权限不同于生成的文件权限。 umask值026会从777中减去,留下来751作为目录权限设置
二、chmod的两种操作方式
在使用chmod 给脚本赋权时,通常有两种方式,一种是chmod +x .. 一种是chmod 777 ..
这两种有啥区别呢?
- 八进制模式
八进制模式设置非常直观,直接用期望赋予文件的标准3位八进制权限码即可。
- 符号模式
[ugoa…][[+-=][rwxXstugo…]第一组字符定义了权限作用的对象:
u代表用户
g代表组
o代表其他
a代表上述所有
后面跟着的符号表示你是想在现有权限基础上增加权限( +),还是在现有权限基础
上移除权限( -),或是将权限设置成后面的值( =)。
第三个符号代表作用到设置上的权限。你会发现,这个值要比通常的rwx多。额外的
设置有以下几项
X:如果对象是目录或者它已有执行权限,赋予执行权限。
s:运行时重新设置UID或GID。
t:保留文件或目录。
u:将权限设置为跟属主一样。
g:将权限设置为跟属组一样。
o:将权限设置为跟其他用户一样
n]# chmod o+x newfile ]# ll -F # -F 可执行文件后加* total 0 -rw-r--r-x 1 root root 0 Oct 31 10:46 newfile* n]# chmod o-x newfile ]# ll -F total 0 -rw-r--r-- 1 root root 0 Oct 31 10:46 newfile
-R选项可以让权限的改变递归地作用到文件和子目录
三、共享文件
1、场景一
假如你是一个员工组的团队领导,为xyz公司工作。公司要求你创建一个dir_xyz
目录,让该组成员都能在该目录下创建或访问文件,但是除了文件创建者之外的其他人不能删除文件,你会怎么做?
2、场景二
某一目录只允许人员读取操作不可进行更改操作
解决
# mkdir dir_xyz # chmod g+wx dir_xyz # chmod +t dir_xyz
第一行命令创建了一个目录(dir_xyz)
第二行命令让组(g)具有‘写’和‘执行’的权限
最后一行命令——权限位最后的‘+t’是‘粘滞位’,它用来替换‘x’,表明在这个目录中,文件只能被它们的拥有者、目录的拥有者或者是超级用户root删除。
目录有一个叫作粘滞位(sticky bit)的特殊权限。如果目录设置了粘滞位,只有创建该目录
的用户才能删除目录中的文件,就算用户组和其他用户也有写权限,仍无能无力。粘滞位出现在
其他用户权限组中的执行权限(x)位置。它使用t或T来表示。如果没有设置执行权限,但设置
了粘滞位,就使用T;如果同时设置了执行权限和粘滞位,就使用t。例如:
------rwt , ------rwT
粘滞位权限便是针对此种情况设置,当⽬录被设置了粘滞位权限以后,即便⽤户对该⽬录有写⼊权限,也不能删除该⽬录中其他⽤户的⽂件数据,⽽是只有该⽂件的所有者和root⽤户才有权将其删除。设置了粘滞位之后,正好可以保持⼀种动态的平衡:允许各⽤户在⽬录中任意写⼊、删除数据,但是禁⽌随意删除其他⽤户的数据。
需要注意的是, 粘滞位权限只能针对⽬录设置,对于⽂件⽆效。
常见的例子就是
linux的系统的临时⽂件夹,权限为“rwxrwxrwx”,即允许任意⽤户、任意程序在该⽬录中进⾏创建、删除、移动⽂件或⼦⽬录等操作。
-- update 2022年1月2日22:05:49
实战
ninesun01 ninesun02 ninesun03
2.创建一个新组
groupadd shared
3.将三个用户添加到同一个组
-G 选项不影响原有user的gid.
-g选项,指定的组名会替换掉该账户的默认组。
usermod -G shared ninesun01 usermod -G shared ninesun02 usermod -G shared ninesun03
4. 创建共享文件
mkdir shared_dir
修改目录所属组
chgrp shared shared_dir/
5. 设置组内成员有读写权限
chmod g+wx shared_dir
至此,组内用户可以自由创建文件并查看文件. 注意用户只能修改自己创建的文件,其他用户创建的文件可以查看但是不能修改。
有一个有意思的事情竟然是可以删除其他人的文件。这就比较危险了,如果手残删了别人的文件就GG了。
如何解决呢?
6. 以root用户修改目录的粘滞位
chmod +t shared_dir
此时文件的删除只能由创建者操作。
注意以上操作一定要用root才可以。这块踩了坑!