必学的Linux系统安全命令

umask

1.作用

umask设置用户文件和目录的文件创建缺省屏蔽值，若将此命令放入profile文件，就可控制该用户后续所建文件的存取许可。它告诉系统在创建文件时不给谁存取许可。使用权限是所有用户。

2.格式

umask [-p] [-S] [mode]

3.参数

－S：确定当前的umask设置。

－p：修改umask 设置。

[mode]：修改数值。

4.说明

传统Unix的umask值是022，这样就可以防止同属于该组的其它用户及别的组的用户修改该用户的文件。既然每个用户都拥有并属于一个自己的私有组，那么这种“组保护模式”就不在需要了。严密的权限设定构成了Linux安全的基础，在权限上犯错误是致命的。需要注意的是，umask命令用来设置进程所创建的文件的读写权限，最保险的值是0077，即关闭创建文件的进程以外的所有进程的读写权限，表示为-rw-------。在～/.bash_profile中，加上一行命令umask 0077可以保证每次启动Shell后, 进程的umask权限都可以被正确设定。

5.应用实例

umask -S
u=rwx,g=rx,o=rx
umask -p 177
umask -S
u=rw,g=,o=


BR>
上述5行命令，首先显示当前状态，然后把umask值改为177，结果只有文件所有者具有读写文件的权限，其它用户不能访问该文件。这显然是一种非常安全的设置。

chgrp

1.作用

chgrp表示修改一个或多个文件或目录所属的组。使用权限是超级用户。

2.格式

chgrp [选项]... 组 文件...

或

chgrp [选项]... --reference=参考文件 文件...

将每个<文件>的所属组设定为<组>。

3.参数

-c, --changes ：像 --verbose，但只在有更改时才显示结果。

--dereference：会影响符号链接所指示的对象，而非符号链接本身。

-h, --no-dereference：会影响符号链接本身，而非符号链接所指示的目的地(当系统支持更改符号链接的所有者，此选项才有效)。

-f, --silent, --quiet：去除大部分的错误信息。

--reference=参考文件：使用<参考文件>的所属组，而非指定的<组>。

-R, --recursive：递归处理所有的文件及子目录。

-v, --verbose：处理任何文件都会显示信息。