安全核查基线-3.用户umask设置策略

在Linux中,umask(用户文件创建掩码)是一个重要的权限管理机制,用于控制新创建的文件和目录的默认权限。umask的值决定了文件或目录的初始权限中哪些权限位会被屏蔽(即不可用)。


1. umask 的作用

  • 文件默认权限 :新创建的文件的默认权限是 666 (即 rw-rw-rw-)。
  • 目录默认权限 :新创建的目录的默认权限是 777 (即 rwxrwxrwx)。
  • umask 值:umask的值会从默认权限中屏蔽(减去)相应的权限位。

2. umask 的格式

umask值通常是一个 3位八进制数,每一位分别对应:

  • 第一位:屏蔽所有者的权限。
  • 第二位:屏蔽所属组的权限。
  • 第三位:屏蔽其他用户的权限。

每个位的含义:

  • 0:不屏蔽任何权限。
  • 1 :屏蔽执行权限(x)。
  • 2 :屏蔽写权限(w)。
  • 4 :屏蔽读权限(r)。

3. 计算最终权限

  • 文件权限默认权限 (666) - umask
  • 目录权限默认权限 (777) - umask
示例:

如果 umask 值为 022

  • 文件权限:666 - 022 = 644(即 rw-r--r--)。
  • 目录权限:777 - 022 = 755(即 rwxr-xr-x)。

4. 查看当前 umask 值

运行以下命令查看当前用户的 umask 值:

复制代码
umask

输出示例:

复制代码
0022

5. 设置 umask 值

可以通过以下方式设置 umask 值:

临时设置(仅对当前会话有效)
复制代码
umask 0027
永久设置
  • 针对单个用户 :编辑用户的 shell 配置文件(如 ~/.bashrc~/.profile),添加以下行:

    复制代码
    umask 0027

    然后运行以下命令使配置生效:

    复制代码
    source ~/.bashrc
  • 针对所有用户 :编辑全局配置文件(如 /etc/profile/etc/bashrc),添加以下行:

    复制代码
    umask 0027

6. 常见的 umask 值

  • 0000 :文件权限为 rw-rw-rw-,目录权限为 rwxrwxrwx
  • 0022 :文件权限为 rw-r--r--,目录权限为 rwxr-xr-x(常见默认值)。
  • 0027 :文件权限为 rw-r-----,目录权限为 rwxr-x---
  • 0077 :文件权限为 rw-------,目录权限为 rwx------(仅所有者可访问)。

7. umask 设置策略

在设置 umask 时,需要根据安全性和便利性进行权衡:

  • 严格策略 :使用较高的 umask 值(如 027077),限制其他用户的访问权限,适合安全性要求高的环境。
  • 宽松策略 :使用较低的 umask 值(如 022002),允许更多用户访问,适合协作性较强的环境。

8. 特殊注意事项

  • root 用户 :通常 root 用户的 umask 值为 022027,以确保新创建的文件和目录不会过于开放。
  • 系统服务:某些系统服务可能会在启动时设置自己的 umask 值,覆盖用户的默认设置。

总结

umask 是 Linux 中控制文件和目录默认权限的重要机制。通过合理设置 umask 值,可以确保新创建的文件和目录具有适当的权限,既能满足安全性需求,又能方便用户使用。建议根据实际需求选择合适的 umask 值,并在全局或用户级别进行配置。

相关推荐
hjh198292 小时前
复现cacti的RCE
网络·安全·php
Sh3r10ck2 小时前
【Hack The Box】Code Write Up
安全
wha the fuck4044 小时前
攻防世界-引导-Web_php_unserialize
安全·web安全·网络安全·php
小田冲冲冲4 小时前
命令执行漏洞
安全
德迅云安全杨德俊6 小时前
应用加速游戏盾的安全作用
网络·安全·游戏·ddos
跨境卫士情报站7 小时前
亚马逊地址关联暴雷:新算法下的账号安全保卫战
安全·亚马逊跨境电商
Guheyunyi7 小时前
安全风险监测系统是什么?内容有哪些?
大数据·人工智能·深度学习·安全·信息可视化
全知科技7 小时前
API产品升级丨全知科技发布「知影-API风险监测平台」:以AI重构企业数据接口安全治理新范式
大数据·人工智能·科技·安全
Goboy10 小时前
弹窗大战15年祭,零信任iOA的枪口,正对准哪吒的方向盘
安全·程序员·产品
Teamhelper_AR10 小时前
AR眼镜:工业4.0时代高风险作业的安全守护者
安全·ar