关于系统文件的默认权限

aiwowo

嗯，这个问题已经解决了。我总结了下来，分享给大家。

根据XXXXXXX项目审计中提到的情况，对操作系统的日志文件需要具备最基本的可读权限。目前现状是在/var/log目录下的很多日志文件只对root用户可读，权限很小（600），像已经存在的work用户或者是其他用户（包括新建的）对/var/log下文件都不具备可读的权限。权限修改起来很容易，只需对/var/log目录执行chmod ugo+r * 即可，但问题是，这样的操作只对现在存在的文件有效，因系统会根据设置的策略定期轮转生成新的日志文件，所以之前执行的扩大权限的命令对新生成的文件是无效的，现在就要解决这个问题。

在操作系统的管理层面上有一个设置，即umask，可以对文件的生成设置好默认的权限。但请注意，出于安全方面的考虑，新文件的最高权限只能到6，不能到7，新目录的权限则可以到7。设置umask只需对/etc/bashrc这个文件进行操作，修改里面的umask 022（022是系统默认值）这句即可。根据取反的换算关系，umask设置为022，新生成的文件权限就是644，无论我用root用户还是work用户，手工创建的文件权限均正确（即644），但为什么/var/log下的日志（如messages等文件）为什么就只有600的权限呢？

进一步考虑，/var/log目录是操作系统固定的日志目录，也是系统层面日志输出的主要目录。这个目录下的日志文件是和系统syslog应用程序关联的。也就是通过系统的syslog应用程序生成的很多日志文件，均放到了/var/log目录里面。所以我们的研究对象应该定位到有关syslog的配置文件上。/etc/sysconfig/syslog文件就是有关syslog应用的一个配置文件，我看见里面有这么一句：SYSLOG_UMASK=077，取反换算后，新生成的文件权限正好是600，与当前的文件权限完全吻合，问题迎然而解！！~~

具体解决办法：
(1) cd /var/log     [进入到/var/log目录]
(2) chmod ugo+r *    [对现有文件增加只读的权限]
(3) sed -i "s/077/022/g" /etc/sysconfig/syslog    [替换syslong应用配置文件里面的077为022]
(4) service syslog restart   [重启syslog应用程序]