Was ist umask in Linux und wie verwenden Sie es?
Veröffentlicht: 2022-07-29 Unter Linux haben alle Verzeichnisse und Dateien Zugriffsberechtigungen. Sie können chmod
verwenden, um Ihre bevorzugten Zugriffsrechte für verschiedene Benutzer festzulegen. Aber was entscheidet über ihre Standardberechtigungen ? Lassen Sie uns über umask
sprechen.
Zugriffsberechtigungen
Alle Verzeichnisse und Dateien haben Flags, sogenannte Modusbits , die entscheiden, ob sie gelesen, beschrieben oder ausgeführt werden können. Eine Datei auszuführen bedeutet, sie wie ein Programm oder ein Skript auszuführen. Für ein Verzeichnis müssen Sie in der Lage sein, ein Verzeichnis „auszuführen“, um dort hinein zu cd
. Zusammen werden die Bitmoduseinstellungen als Berechtigungen des Verzeichnisses oder der Datei bezeichnet.
Es gibt drei Arten von Berechtigungen. Ein Satz ist für den Eigentümer des Verzeichnisses oder der Datei. Sofern der Besitz nicht mit chown
geändert wurde, ist der Besitzer die Person, die das Verzeichnis oder die Datei erstellt hat.
Der zweite Satz von Berechtigungen gilt für die Mitglieder der Benutzergruppe, der das Verzeichnis oder die Datei zugewiesen wurde. In der Regel ist dies die Benutzergruppe des Eigentümers.
Es gibt einen dritten und letzten Satz von Berechtigungen für „andere“. Es ist ein Sammelsurium für alle, die nicht in den ersten beiden Sets enthalten sind.
Indem die Berechtigungen auf diese Weise getrennt werden, können den drei Kategorien unterschiedliche Fähigkeiten gegeben werden. So wird der Verzeichnis- und Dateizugriff unter Linux gesteuert. Obwohl es sich um ein einfaches Schema handelt, bietet es eine flexible und robuste Methode, um festzulegen, wer was mit einem Verzeichnis oder einer Datei tun darf.
Die Modusbits
Sie können die Berechtigungen für Dateien anzeigen, indem Sie den Befehl ls
und die Option -l
(Langformat) verwenden.
ls -l beliebig*
Wir sehen uns auch ein Verzeichnis an, indem wir die Option -d
(Verzeichnis) hinzufügen. Ohne diese Option würde ls
die Dateien innerhalb des Verzeichnisses betrachten, nicht das Verzeichnis selbst.
ls-ld
Am Anfang jedes Eintrags im ls
Listing steht eine Sammlung von 10 Zeichen. Hier ist eine Nahaufnahme dieser Zeichen für eine Datei und für ein Verzeichnis.
Die Datei ist die oberste Zeile, das Verzeichnis die untere Zeile. Das allererste Zeichen sagt uns, ob wir ein Verzeichnis oder eine Datei betrachten. Ein „d“ steht für ein Verzeichnis und ein Bindestrich „ -
“ für eine Datei.
Die drei Berechtigungssätze werden durch jede Gruppe von drei Zeichen angezeigt. Von links nach rechts sind dies die Berechtigungen für den Besitzer, die Gruppe und andere. In jedem Berechtigungssatz geben die drei Zeichen von links nach rechts die Einstellung für die Leseberechtigung „r“, die Schreibberechtigung „w“ und die Ausführungsberechtigung „x“ an. Ein Buchstabe bedeutet, dass die Berechtigung gesetzt ist. Ein Bindestrich „ -
“ bedeutet, dass die Berechtigung nicht gesetzt ist.
Für unsere Beispieldatei bedeuten die 10 Zeichen:
- – : Dies ist eine Datei, kein Verzeichnis.
- rwx : Der Eigentümer kann diese Datei lesen, schreiben und ausführen.
- rw- : Andere Mitglieder derselben Gruppe, der diese Datei zugewiesen ist, können die Datei lesen und in sie schreiben, aber sie können sie nicht ausführen.
- r– : Alle anderen können die Datei nur lesen.
Für unser Beispielverzeichnis bedeuten die 10 Zeichen:
- d : Dies ist ein Verzeichnis.
- rwx : Der Besitzer kann dieses Verzeichnis lesen, schreiben und ausführen (
cd
into). - rwx : Andere Mitglieder der gleichen Gruppe können in dieses Verzeichnis lesen, schreiben und
cd
. - rx : Alle anderen können in dieses Verzeichnis
cd
, aber sie können nur Dateien lesen. Sie können keine Dateien löschen, Dateien bearbeiten oder neue Dateien erstellen.
Die Berechtigungen werden in Modusbits in den Metadaten des Verzeichnisses oder der Datei gespeichert. Jedes Modusbit hat einen numerischen Wert. Sie haben alle den Wert Null, wenn sie nicht gesetzt sind.
- r : Das gelesene Bit hat den Wert 4, wenn es gesetzt ist.
- w : Das Schreibbit hat den Wert 2, wenn es gesetzt ist.
- x : Das Ausführungsbit hat den Wert 1, wenn es gesetzt ist.
Ein Satz von drei Berechtigungen kann durch die Summe der Bitwerte dargestellt werden. Der Maximalwert ist 4+2+1=7, was alle drei Berechtigungen in einem Satz auf „ein“ setzen würde. Das bedeutet, dass alle Permutationen aller drei Sätze in einem dreistelligen Oktalwert (Basis 8) erfasst werden können.
In unserer obigen Beispieldatei hat der Eigentümer Lese-, Schreib- und Ausführungsberechtigungen, also 4+2+1=7. Andere Mitglieder der Gruppe, in der sich die Datei befindet, haben Lese- und Schreibberechtigungen, also 4+2=6. Die Kategorie "Sonstige" hat nur die Leseberechtigung, die einfach 4 ist.
Die Berechtigungen für diese Datei können also als 764 ausgedrückt werden.
Unter Verwendung des gleichen Schemas wären die Berechtigungen für das Verzeichnis 775. Sie können die Oktaldarstellung der Berechtigungen mit dem Befehl stat
anzeigen.
Der Befehl chmod
( change mod e bits) ist das Werkzeug, mit dem die Berechtigungen für Verzeichnisse und Dateien festgelegt werden. Es schreibt jedoch nicht vor, welche Berechtigungen für ein Verzeichnis oder eine Datei beim Erstellen festgelegt werden. Dafür wird ein Standardsatz von Berechtigungen verwendet.
Die Standardberechtigungen und umask
Die Standardberechtigungen für ein Verzeichnis sind 777 und die Standardberechtigungen für eine Datei sind 666. Dadurch hat jeder Benutzer vollen Zugriff auf alle Verzeichnisse und die Möglichkeit, jede Datei zu lesen und zu schreiben. Das Ausführungsbit ist für Dateien nicht gesetzt. Sie können keine Datei erstellen, bei der das Ausführungsbit bereits gesetzt ist. Dadurch können Sicherheitsrisiken entstehen.
Wenn Sie jedoch ein neues Verzeichnis und eine neue Datei erstellen und sich ihre Berechtigungen ansehen, werden sie nicht auf 777 und 666 gesetzt. Wir erstellen eine Datei und ein Verzeichnis und verwenden dann stat
piped through grep
, um die Zeile mit zu extrahieren die Oktaldarstellung ihrer Berechtigungen.
Berühren Sie umask-article.txt
mkdir howtogeek
stat umask-artikel.txt | grep "Zugriff: ("
stat howtogeek | grep "Zugriff: ("
Sie sind auf 775 für das Verzeichnis und 664 für die Datei gesetzt. Sie werden nicht auf die globalen Standardberechtigungen gesetzt, da sie von einem anderen Wert geändert werden, der als umask-Wert bezeichnet wird.
Der umask-Wert
Der umask-Wert wird global mit einem Wert für root und einem anderen für alle anderen Benutzer festgelegt. Aber es kann für jeden auf einen neuen Wert gesetzt werden. Verwenden Sie den Befehl umask, um die aktuelle umask-Einstellung umask
.
Maske
Und für root:
Maske
Die Berechtigungen für ein neu erstelltes Verzeichnis oder eine neu erstellte Datei sind das Ergebnis des umask-Werts, der die globalen Standardberechtigungen ändert.
Genau wie die Modusbits repräsentiert der umask-Wert die gleichen drei Berechtigungssätze – Eigentümer, Gruppe und andere – und stellt sie als drei Oktalziffern dar. Sie werden sie manchmal als vier Ziffern geschrieben sehen, wobei die erste Ziffer eine Null ist. Das ist eine Abkürzung für „das ist eine Oktalzahl“. Es zählen die drei Ziffern ganz rechts.
Der umask-Wert kann keine Berechtigungen hinzufügen . Es kann nur Berechtigungen entfernen – oder ausblenden . Deshalb sind die Standardberechtigungen so großzügig. Sie sind so konzipiert, dass sie durch die Anwendung des umask-Werts auf ein vernünftiges Maß reduziert werden.
Ein Satz von Standardberechtigungen ist weder für alle Benutzer noch für alle Szenarien geeignet. Beispielsweise benötigen Verzeichnisse und Dateien, die von root erstellt werden, restriktivere Berechtigungen als der durchschnittliche Benutzer. Und selbst ein durchschnittlicher Benutzer möchte nicht, dass jeder in der Kategorie „Andere“ seine Dateien sehen und ändern kann.
Wie umask Berechtigungen maskiert
Wenn Sie den Maskenwert von den Standardberechtigungen abziehen, erhalten Sie die tatsächlichen Berechtigungen. Mit anderen Worten, wenn eine Berechtigung im umask-Wert festgelegt ist, wird sie nicht in den Berechtigungen festgelegt, die auf das Verzeichnis oder die Datei angewendet werden.
Die umask-Werte funktionieren als Umkehrung der üblichen Berechtigungswerte.
- 0 : Es werden keine Berechtigungen entfernt.
- 1 : Das Ausführungsbit ist in den Berechtigungen nicht gesetzt.
- 2 : Das Schreibbit in den Berechtigungen ist nicht gesetzt.
- 4 : Das Lesebit ist in den Berechtigungen nicht gesetzt.
Die Standardberechtigungen von 777 für Verzeichnisse und 666 für Dateien wurden durch den umask-Wert 002 geändert, um die endgültigen Berechtigungen von 775 und 664 für unser Testverzeichnis und unsere Testdatei zu erhalten.
stat umask-artikel.txt | grep "Zugriff: ("
stat howtogeek | grep "Zugriff: ("
Dadurch wird die Schreibberechtigung der Kategorie „Sonstige“ sowohl für das Verzeichnis als auch für die Datei entfernt.
Wenn root ein Verzeichnis erstellt, wird der umask-Wert 022 angewendet. Die Schreibberechtigung wird für die Kategorie „Sonstiges“ und auch für die Kategorie „Gruppe“ entfernt.
sudo mkdir root-dir
stat howtogeek | grep "Zugriff: ("
Wir können sehen, dass die Standardberechtigungen von 777 auf 755 reduziert wurden.
VERWANDT: So prüfen Sie die Sicherheit Ihres Linux-Systems mit Lynis
Ändern des standardmäßigen umask-Werts
Es gibt unterschiedliche umask-Werte für Login-Shells und Nicht-Login-Shells. Anmelde-Shells sind die Shells, mit denen Sie sich entweder lokal oder remote über SSH anmelden können. Eine Nicht-Login-Shell ist eine Shell in einem Terminalfenster, wenn Sie bereits angemeldet sind.
Seien Sie sehr vorsichtig, wenn Sie die umask der Login-Shell ändern. Erhöhen Sie nicht die Berechtigungen und verringern Sie Ihre Sicherheit. Wenn überhaupt, sollten Sie dazu neigen, sie zu reduzieren und restriktiver zu gestalten.
Unter Ubuntu und Manjaro finden Sie die umask-Einstellungen in diesen Dateien:
- Umask der Login-Shell : Für den Umask-Standardwert der Login-Shell: /etc/profile
- Non-Login-Shell : Für den Standard-umask-Wert der Non-Login-Shell: /etc/bash.bashrc
Auf Fedora finden Sie die umask-Einstellungen in diesen Dateien:
- Anmelde-Shell umask : Für den Standard-umask-Wert der Anmelde-Shell: /etc/profile
- Non-Login-Shell : Für den Standard-umask-Wert der Non-Login-Shell: /etc/bashrc
Wenn Sie diese nicht dringend ändern müssen, lassen Sie sie am besten in Ruhe.
Die bevorzugte Methode besteht darin, einen neuen umask-Wert für einzelne Benutzerkonten festzulegen, die sich von der Standardeinstellung unterscheiden müssen. Eine neue umask-Einstellung kann in der „.bashrc“-Datei eines Benutzers in seinem Home-Verzeichnis abgelegt werden.
gedit .bashrc
Fügen Sie Ihre umask-Einstellung oben in der Datei hinzu.
Speichern Sie die Datei und schließen Sie den Editor. Öffnen Sie ein neues Terminalfenster und überprüfen Sie den Wert von umask mit dem Befehl umask
.
Maske
Der neue Wert ist aktiv.
RELATED: So stellen Sie eine Verbindung zu einem SSH-Server von Windows, macOS oder Linux her
Kurzfristige Änderungen an umask
Wenn Sie kurzfristig einen anderen umask-Wert benötigen, können Sie ihn für Ihre aktuelle Sitzung mit dem Befehl umask
. Vielleicht erstellen Sie einen Verzeichnisbaum und einige Dateien und möchten die Sicherheit erhöhen.
Sie könnten den umask-Wert auf 077 setzen und dann prüfen, ob der neue Wert aktiv ist.
Maske 077
Maske
Das Festlegen der Maske auf einen Wert von 7 in den Kategorien group und other bedeutet, dass alle Berechtigungen von diesen Kategorien entfernt werden. Niemand außer Ihnen (und root) kann die neuen Verzeichnisse betreten und Ihre Dateien lesen und bearbeiten.
mkdir sicheres Verzeichnis
ls -ld sicheres Verzeichnis
Die einzigen Berechtigungen sind für den Verzeichniseigentümer.
mkdir secure-file.txt
ls -ld sichere-datei.txt
Die Datei ist gegen Ausspähen durch andere Benutzer geschützt. Wenn Sie Ihr Terminalfenster schließen, wird die temporäre umask-Einstellung verworfen.
Andere Möglichkeiten, wie umask verwendet wird
Linux erlaubt einigen Prozessen, System-Umask-Werte zu erben oder ihre eigenen Umask-Einstellungen zu erhalten. Beispielsweise verwendet useradd
eine umask-Einstellung, um die Home-Verzeichnisse neuer Benutzer zu erstellen.
Ein umask-Wert kann auch auf ein Dateisystem angewendet werden.
weniger /etc/fstab
Auf diesem Computer hat das Dateisystem „/boot/efi“ eine umask-Einstellung von 077, die darauf angewendet wird.
Wenn wir uns den Einhängepunkt des Dateisystems mit ls
ansehen, können wir überprüfen, ob der umask-Wert alle Berechtigungen von allen außer dem Besitzer root entfernt hat.
ls /boot/efi -ld
umask und Berechtigungen brauchen einander
Standardberechtigungen werden auf ein Verzeichnis oder eine Datei angewendet, nachdem sie durch den umask-Wert transformiert wurden. Es wird sehr selten sein, dass Sie den umask-Wert für einen Benutzer dauerhaft ändern müssen, aber das vorübergehende Festlegen Ihres umask-Werts, um einen engeren Satz von Berechtigungen zu gewähren, während Sie eine Sammlung sensibler Verzeichnisse oder Dokumente erstellen, ist eine schnelle und einfache Möglichkeit, sie zu stärken Sicherheit.
VERWANDT: So sichern Sie Ihren Linux-Server mit einer UFW-Firewall