O que é umask no Linux e como você o usa?
Publicados: 2022-07-29 No Linux, todos os diretórios e arquivos têm permissões de acesso. Você pode usar chmod
para definir seus direitos de acesso preferidos para diferentes usuários. Mas o que decide suas permissões padrão ? Vamos falar sobre umask
.
Permissões de acesso
Todos os diretórios e arquivos têm sinalizadores chamados bits de modo que decidem se podem ser lidos, gravados ou executados. Executar um arquivo significa executá-lo como um programa ou um script. Para um diretório, você deve ser capaz de “executar” um diretório para cd
nele. Coletivamente, as configurações do modo de bits são chamadas de permissões do diretório ou arquivo.
Existem três conjuntos de permissões. Um conjunto é para o proprietário do diretório ou arquivo. A menos que a propriedade tenha sido alterada com chown
, o proprietário é a pessoa que criou o diretório ou arquivo.
O segundo conjunto de permissões é para os membros do grupo de usuários ao qual o diretório ou arquivo foi atribuído. Normalmente, este é o grupo de usuários do proprietário.
Há um terceiro e último conjunto de permissões para “outros”. É um pega-tudo para todos que não estão contidos nos dois primeiros conjuntos.
Ao separar as permissões dessa forma, diferentes recursos podem ser dados às três categorias. É assim que o acesso a diretórios e arquivos é controlado no Linux. Embora seja um esquema simples, ele fornece uma maneira flexível e robusta de ditar quem pode fazer o quê com qualquer diretório ou arquivo.
Os bits de modo
Você pode ver as permissões para arquivos usando o comando ls
e a opção -l
(formato longo).
ls -l qualquer*
Também veremos um diretório adicionando a opção -d
(diretório). Sem essa opção, ls
examinaria os arquivos dentro do diretório, não no próprio diretório.
ls -ld
No início de cada entrada na listagem ls
, há uma coleção de 10 caracteres. Aqui está um close desses caracteres para um arquivo e um diretório.
O arquivo é a linha superior, o diretório é a linha inferior. O primeiro caractere nos diz se estamos olhando para um diretório ou um arquivo. Um “d” indica um diretório e um traço “ -
” indica um arquivo.
Os três conjuntos de permissões são indicados por cada grupo de três caracteres. Da esquerda para a direita, essas são as permissões para o proprietário, o grupo e outros. Em cada conjunto de permissões, os três caracteres, da esquerda para a direita, indicam a configuração para a permissão de leitura “r”, a permissão de gravação “w” e a permissão de execução “x”. Uma letra significa que a permissão está definida. Um traço “ -
” significa que a permissão não está definida.
Para nosso arquivo de exemplo, os 10 caracteres significam:
- – : Este é um arquivo, não um diretório.
- rwx : O proprietário pode ler, escrever e executar este arquivo.
- rw- : Outros membros do mesmo grupo ao qual este arquivo está atribuído podem ler e escrever no arquivo, mas não podem executá-lo.
- r– : Todos os outros podem apenas ler o arquivo.
Para nosso diretório de exemplo, os 10 caracteres significam:
- d : Este é um diretório.
- rwx : O proprietário pode ler, escrever e executar (
cd
em) este diretório. - rwx : Outros membros do mesmo grupo podem ler, gravar e
cd
neste diretório. - rx : Todos os outros podem fazer
cd
neste diretório, mas eles só podem ler arquivos. Eles não podem excluir arquivos, editar arquivos ou criar novos arquivos.
As permissões são armazenadas em bits de modo nos metadados do diretório ou arquivo. Cada bit de modo tem um valor numérico. Todos eles têm um valor de zero se não estiverem definidos.
- r : O bit lido tem um valor de 4 se definido.
- w : O bit de gravação tem um valor de 2 se definido.
- x : O bit de execução tem um valor de 1 se definido.
Um conjunto de três permissões pode ser representado pela soma dos valores dos bits. O valor máximo é 4+2+1=7, que definiria todas as três permissões em um conjunto como “ativado”. Isso significa que todas as permutações de todos os três conjuntos podem ser capturadas em um valor Octal de três dígitos (base 8).
Tomando nosso arquivo de exemplo acima, o proprietário tem permissões de leitura, gravação e execução, que são 4+2+1=7. Outros membros do grupo em que o arquivo está têm permissões de leitura e gravação, que é 4+2=6. A categoria outros tem apenas o conjunto de permissões de leitura, que é simplesmente 4.
Portanto, as permissões para esse arquivo podem ser expressas como 764.
Usando o mesmo esquema, as permissões para o diretório seriam 775. Você pode ver a representação Octal das permissões usando o comando stat
.
O comando chmod
( ch ange mod e bits) é a ferramenta usada para definir as permissões em diretórios e arquivos. Mas não determina quais permissões são definidas em um diretório ou arquivo quando você o cria. Um conjunto padrão de permissões é usado para isso.
As permissões padrão e umask
As permissões padrão para um diretório são 777, e as permissões padrão para um arquivo são 666. Isso dá a cada usuário acesso total a todos os diretórios e a capacidade de ler e gravar qualquer arquivo. O bit de execução não é definido em arquivos. Você não pode criar um arquivo que já tenha o bit de execução definido. Isso pode dar origem a riscos de segurança.
No entanto, se você criar um novo diretório e um novo arquivo e observar suas permissões, eles não serão definidos como 777 e 666. Criaremos um arquivo e um diretório e usaremos stat
canalizado por meio de grep
para extrair a linha com a representação Octal de suas permissões.
toque em umask-article.txt
mkdir howtogeek
stat umask-article.txt | grep "Acesso: ("
stat howtogeek | grep "Acesso: ("
Eles são definidos como 775 para o diretório e 664 para o arquivo. Eles não são definidos para as permissões padrão globais porque outro valor os modifica, chamado valor umask.
O valor umask
O valor umask é definido globalmente com um valor para root e um valor diferente para todos os outros usuários. Mas pode ser definido para um novo valor para qualquer pessoa. Para ver qual é a configuração atual de umask, use o comando umask
.
umask
E para raiz:
umask
As permissões em um diretório ou arquivo recém-criado são o resultado do valor umask que modifica as permissões padrão globais.
Assim como os bits de modo, o valor umask representa os mesmos três conjuntos de permissões – proprietário, grupo e outros – e os representa como três dígitos octais. Às vezes, você os verá escritos como quatro dígitos, com o primeiro dígito um zero. Essa é uma forma abreviada de dizer “este é um número octal”. São os três dígitos mais à direita que contam.
O valor umask não pode adicionar permissões. Ele só pode remover—ou mascarar— permissões. É por isso que as permissões padrão são tão liberais. Eles são projetados para serem reduzidos a níveis sensíveis pela aplicação do valor umask.
Um conjunto de permissões padrão não será adequado para todos os usuários, nem para todos os cenários. Por exemplo, diretórios e arquivos criados pelo root precisarão de permissões mais restritivas do que o usuário médio. E mesmo um usuário comum não quer que todos na categoria de outros possam ver e alterar seus arquivos.
Como umask mascara as permissões
Subtrair o valor da máscara das permissões padrão fornece as permissões reais. Em outras palavras, se uma permissão for configurada no valor umask, ela não será configurada nas permissões aplicadas ao diretório ou arquivo.
Os valores de umask funcionam como um inverso dos valores de permissão usuais.
- 0 : Nenhuma permissão é removida.
- 1 : O bit de execução não está definido nas permissões.
- 2 : O bit de gravação não está definido nas permissões.
- 4 : O bit de leitura não está definido nas permissões.
As permissões padrão de 777 para diretórios e 666 para arquivos foram modificadas pelo valor umask de 002 para gerar as permissões eventuais de 775 e 664 em nosso diretório e arquivo de teste.
stat umask-article.txt | grep "Acesso: ("
stat howtogeek | grep "Acesso: ("
Isso remove a permissão de gravação da categoria outros no diretório e no arquivo.
se o root criar um diretório, seu valor umask de 022 será aplicado. A permissão de gravação é removida para a categoria de outros e também para a categoria de grupo.
sudo mkdir root-dir
stat howtogeek | grep "Acesso: ("
Podemos ver que as permissões padrão de 777 foram reduzidas para 755.
RELACIONADO: Como auditar a segurança do seu sistema Linux com o Lynis
Alterando o valor umask padrão
Existem diferentes valores de umask para shells de login e shells sem login. Os shells de login são os shells que permitem que você efetue login, local ou remotamente por SSH. Um shell sem login é um shell dentro de uma janela de terminal quando você já está logado.
Tenha muito cuidado se você alterar o umask do shell de login. Não aumente as permissões e diminua sua segurança. Se alguma coisa, você deve estar inclinado a reduzi-los e torná-los mais restritivos.
No Ubuntu e no Manjaro, as configurações de umask podem ser encontradas nestes arquivos:
- Umask do shell de login : Para o valor umask padrão do shell de login: /etc/profile
- Shell sem login : Para o valor umask padrão do shell sem login: /etc/bash.bashrc
No Fedora, as configurações de umask podem ser encontradas nestes arquivos:
- Login Shell umask : Para o valor umask padrão do shell de login: /etc/profile
- Shell sem login : Para o valor umask padrão do shell sem login: /etc/bashrc
Se você não tiver uma necessidade urgente de alterá-los, é melhor deixá-los em paz.
A maneira preferida é definir um novo valor de umask para qualquer conta de usuário individual que precise ser diferente do padrão. Uma nova configuração de umask pode ser colocada no arquivo “.bashrc” de um usuário em seu diretório inicial.
gedit .bashrc
Adicione sua configuração umask perto do topo do arquivo.
Salve o arquivo e feche o editor. abra uma nova janela de terminal e verifique o valor umask com o comando umask
.
umask
O novo valor está ativo.
RELACIONADO: Como se conectar a um servidor SSH do Windows, macOS ou Linux
Alterações de curto prazo para umask
Se você tiver um requisito de curto prazo para um valor de umask diferente, poderá alterá-lo para sua sessão atual usando o comando umask
. Talvez você vá criar uma árvore de diretórios e alguns arquivos e queira aumentar a segurança deles.
Você pode definir o valor de umask para 077 e, em seguida, verificar se o novo valor está ativo.
umask 077
umask
Definir a máscara para ter um valor de 7 no grupo e outras categorias significa que todas as permissões são removidas dessas categorias. Ninguém além de você (e root) poderá entrar nos novos diretórios e ler e editar seus arquivos.
mkdir diretório seguro
ls -ld diretório seguro
As únicas permissões são para o proprietário do diretório.
mkdir arquivo seguro.txt
ls -ld arquivo seguro.txt
O arquivo é seguro contra espionagem de outros usuários. Fechar a janela do terminal descarta a configuração temporária de umask.
Outras maneiras de usar umask
O Linux permite que alguns processos herdem valores de umask do sistema ou recebam suas próprias configurações de umask. Por exemplo, useradd
usa uma configuração umask para criar diretórios pessoais de novos usuários.
Um valor umask também pode ser aplicado a um sistema de arquivos.
menos /etc/fstab
Neste computador, o sistema de arquivos “/boot/efi” tem uma configuração umask de 077 aplicada a ele.
Observando o ponto de montagem do sistema de arquivos com ls
, podemos verificar que o valor umask removeu todas as permissões de todos, exceto do proprietário, root.
ls /boot/efi -ld
umask e permissões precisam uma da outra
As permissões padrão são aplicadas a um diretório ou arquivo após serem transformadas pelo valor umask. Será muito raro que você precise alterar o valor de umask permanentemente para um usuário, mas configurar temporariamente seu valor de umask para fornecer um conjunto mais restrito de permissões enquanto você cria uma coleção de diretórios ou documentos confidenciais é uma maneira rápida e fácil de reforçar seus segurança.
RELACIONADO: Como proteger seu servidor Linux com um firewall UFW