umask 权限设置文章

时间:2023-03-10 07:19:59
umask 权限设置文章

文章来源 https://www.starduster.me/2014/12/29/use-umask-to-config-sftp-upload-files/

最近遇到一点事,需要开放工作室服务器的网站目录上传文件权限,要求静态网站上传可以即传即用,考虑到简单起见我想到的办法是新建一个用户加入 www-data 组,登录目录设在网站所在目录下,要传网站直接把文件丢上去就行(前提是这些网站都在同一个域名下,不然还需要另外配置 Server)。可是 SFTP 上传的文件都是默认755,原本 vsftpd 可以用户 local_umask 控制上传文件权限,但是坑爹的硬件防火墙封了 FTP 端口,只能通过22端口。但是 SFTP 虽然名字里带 FTP ,但是实际上 SFTP不是由 vsftpd 控制而是由 openssh 控制,SFTP 没有专门的守护进程,也没有独立的配置文件(我在查了半天 vsftpd 相关问题之后才发现这一事实,晕死)

查看 openssh 的配置没发现有 umask 的相关配置,应该只能改 bash 的环境配置了。

那么问题又来了,我在 /etc/passwd 中设置的登陆地址是网站所在地址,系统没有自动生成 bash 的配置文件,于是乎我在手动建立了一个 .bash_profile ,里面填了一行 umask 002,重启 sshd ,惊奇地发现没有效果——原本权限777的文件上传之后还是755。

仔细一想,bash 的配置文件好像不止一个,大概是 SFTP 读取的配置不对?于是又去查了一下关于 bash 的配置,一查吓一跳,还有这么多细节问题以前没注意的。其中最大的问题就是 login shell 和 non-login shell 的区别:

定义:
login shell:取得bash 时需要完整的登入流程,就称为login shell。
non-login shell:取得bash介面的方法不需要重复登入的动作。

login shell 和 non-login shell的最大区别在于读取环境变量的配置文件不同,当系统启动时或你开启一个新到终端登录系统时,系统通过调用/bin/login程序处理登录并在 一个shell中显示命令行提示符,这个shell就是login shell;该shell程序可以是bash也可以是sh或csh,具体使用哪种shell可以在/etc/passwd中设置(/bin/login程 序读取该文件决定使用哪种shell)

举例来说,同tty1~tty6登入时, 需要输入用户名和密码,此时取得的bash就称为login shell,通过 SSH 登陆启动的 shell、或者使用 su -l 切换账户的时候调用的都是 login shell。
而以X window登入linux后,再以X 的图形化介面启动虚拟终端,此时不需要输入用户名和密码,那个 bash 的环境就称为non-login shell 。或者在原本的 bash 环境中使用bash 启动新 shell,同样没有要求输入用户名和密码,那个第二个 bash 也是 non-login shell。另外 su 命令执行时不指定 -l 参数、使用 bash -c 唤醒的新 shell 也是 non-login shell。

那么,由此可知 ,SSH 登陆和 SFTP 登陆所使用的 shell 应该是 login shell ,那么我们据此设置 bash 配置文件。

在这两个取得bash的情况中,所读取的设定档并不一样
login shell 其實只會讀取這兩個設定檔:

  1. /etc/profile:這是系統整體的設定,你最好不要修改這個檔案;
  2. ~/.bash_profile 或 ~/.bash_login 或 ~/.profile:屬於使用者個人設定,你要改自己的資料,就寫入這裡

/etc/profile只有login shell才会读,每個使用者登入取得 bash 時一定会读取的设定档! 所以如果你想要帮所有使用者设定整体环境,那就是改这里
同样,/etc/profile会去呼叫外部的设定资料,底下这些资料会依次被呼叫进来

——引自鸟哥

总之对于 login shell ,系统读取的只有/etc/profile 一个文件,但是他会调用个人配置如~/.bash_profile,按顺序依次是读取,优先读取第一个配置,后面的配置不会生效,bash  之所以会读取这么多配置,主要是出于对其他 shell 的兼容:

  1. ~/.bash_profile
  2. ~/.bash_login
  3. ~/.profile

而且 ~/.bash_profile 会调用 ~/.bashrc ,也就是说最终 Login shell 读取的是~/.bashrc

坑爹呢绕这一大圈早知道我就改 bashrc 了嘛!

而对于 non-login shell , 只会直接读取~/.bashrc,但是 bashrc 会调用/etc/bashrc(Debian 下是 /etc/bash.bashrc)

而这个/etc/bashrc主要有三个作用:

  1. 根据不同的UID,规范出UMASK的值
  2. 依据不同的UID ,规范出PS1, 也就是提示符的内容
  3. 呼叫/etc/profile.d/*sh目录中的内容

顺便一提 PS1  这玩意呢,是 interactive shell 具有的环境变量,用于确定提示符的样式。

bash 默认引用个人配置使用的就是 source 命令,因此我们每次修改 bash 配置,可以使用

点击展开代码

命令立刻使之生效.

对于 login shell 和 non-login shell 的区别,有个很简单的办法实践,那就是在自己家目录下建立一个.bash_profile 文件,写上 umask 002,保存退出shell 重新登录,随便新建一个文件,查看属性,bash 调出新的 shell ,再新建一个文件,对比他们的属性。

Shell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
stardust@Chaos:~$ touch 1 #建立新文件1
stardust@Chaos:~$ ls -al 1   #查看属性是644,因为默认umask是022
-rw-r--r-- 1 stardust stardust 0 Dec 29 16:50 1
stardust@Chaos:~$ bash    #采用 non-login 方式启动新 shell
stardust@Chaos:~$ touch 2
stardust@Chaos:~$ ls -al 2    #权限属性是644,因为目前没有修改
-rw-r--r-- 1 stardust stardust 0 Dec 29 16:50 2
stardust@Chaos:~$ nano ./.bash_profile   #编辑bash_profile
stardust@Chaos:~$ bash    #采用 non-login 方式启动新 shell
stardust@Chaos:~$ touch 3
stardust@Chaos:~$ ls -al 3  
-rw-r--r-- 1 stardust stardust 0 Dec 29 16:51 3
#权限还是644,因为non-login shell没有读取 bash_profie
stardust@Chaos:~$ su -l stardust
Password:    #su 加 -l 参数之后是 login shell
stardust@Chaos:~$ touch 4
stardust@Chaos:~$ ls -al 4   #权限已经变为664,自定义的 umask 生效
-rw-rw-r-- 1 stardust stardust 0 Dec 29 16:51 4

更多关于 login shell 的测试参见login-shell和non login-shell区别 & bash配置文件实验报告

我本想通过简单测试验证这些加载顺序,但是没成功,那么就只能放一个别人的验证了:理解 bashrc 和 profile

另外附部分 bash man 手册对这几个配置文件的解释:

/etc/profile
The systemwide initialization file, executed for login shells
系统全程的初始化文件,为登录的shell所执行
~/.bash_profile
The personal initialization file, executed for login shells
个人的初始化文件,为登录的shell所执行
~/.bashrc
The individual per-interactive-shell startup file
个人的交互式shell的起始文件

最后我在/etc/passwd 中登陆目录下手动建立了一个 .bashrc 加了一句 umask 002,目的达到