Linux的权限和所有权模型(粘滞位)

一个用户、一个组
　　
　　我们来看一看 Linux 权限和所有权模型。我们已经看到每个文件属于一个用户和一个组。这正是 Linux 中权限模型的核心。您可以在 ls -l 清单中查看用户和组：
　　
　　$ ls -l /bin/bash
　　
　　-rwxr-xr-x　　1 root　　 wheel　　　430540 Dec 23 18:27 /bin/bash在这个特殊的示例中，/bin/bash 可执行文件属于 root 用户，并且在 wheel 组中。Linux 权限模型通过允许给每个文件系统对象设置三种独立的权限级别来工作 — 它们为文件的所有者、文件的组以及所有其他用户。
　　
　　理解“ls -l”
　　
　　我们来看一看我们的 ls -l 输出，检查一下这个清单的第一栏：
　　
　　$ ls -l /bin/bash-rwxr-xr-x　　1 root　　 wheel　　　430540 Dec 23 18:27 /bin/bash第一个字段 -rwxr-xr-x 包含该特殊文件的权限的符号表示。该字段中的首字符（-）指定该文件的类型，本例中它是一个常规文件。其它可能的首字符还有：
　　
　　“d”目录“l”符号链接“c”字符专门设备文件“b”块专门设备文件“p”先进先出“s”套接字三个三元组$ ls -l /bin/bash-rwxr-xr-x　　1 root　　 wheel　　　430540 Dec 23 18:27 /bin/bash该字段的其余部分由三个三元组字符组成。第一个三元字符组代表文件所有者的权限，第二个代表文件的组的权限，第三个代表所有其他用户的权限：
　　
　　"rwx""r-x""r-x"上面，r 表示允许读（查看文件中的数据），w 表示允许写（修改文件以及删除），x 表示允许“执行”（运行程序）。将所有这些信息放在一起，我们可以发现每个人都能够读该文件的内容和执行该文件，但是只允许文件所有者（root 用户）可以以任何方式修改该文件。因此，虽然一般用户可以复制该文件，但是只允许 root 用户更新或删除它。
　　
　　我是谁？在我们看怎样改变文件的用户所有权和组所有权之前，我们首先来看一看怎样得知您当前的用户标识和组成员资格。除非最近您使用过 su 命令，否则您当前的用户标识是您用来登录系统的用户标识。但是，如果您经常使用 su，您可能不记得您当前有效的用户标识。要查看用户标识，输入 whoami：# whoamiroot# su drobbins$ whoamidrobbins我在哪一组？要看看您属于哪一组，使用 group 命令：$ groupsdrobbins wheel audio在上面的示例中，我是 drobbins、wheel 和 audio 组的成员。如果您想看看其他用户在什么组，指定他们的用户名作为参数：
　　
　　$ groups root daemonroot : root bin daemon sys adm disk wheel floppy dialout tape videodaemon : daemon bin adm改变用户和组所有权为了改变文件或其它文件系统对象的所有者或组，分别使用 chown 或 chgrp。这两个命令都要一个用户名或组名作参数，后面跟上一个或多个文件名。
　　
　　# chown root /etc/passwd# chgrp wheel /etc/passwd您还可以用 chown 命令的另一种形式同时设置所有者和组：
　　
　　# chown root.wheel /etc/passwd除非您是超级用户，否则您不可以使用 chown，然而任何人都可以使用 chgrp 来将文件的组所有权改为他们所属的组。
　　
　　递归的所有权改变chown 和 chgrp 都有一个 -R 选项，该选项可以用来告诉它们递归地将所属权和组改变应用到整个目录树中。例如：# chown -R drobbins /home/drobbins介绍 chmodchown 和 chgrp 可以用来改变文件系统对象的所有者和组，而另一个程序 — 叫做 chmod — 用来改变我们可以在 ls -l 清单中看到的 rwx 权限。chmod 带有两个或多个参数：“mode”，描述怎样改变权限，后面跟将会受到影响的文件或文件列表：$ chmod +x scriptfile.sh在上面的示例中，我们的“mode”是 +x。您可能会猜到，+x 模式告诉 chmod，使该特殊文件对于用户、组以及其它任何人都是可执行的。如果我们想要除去一个文件的所有执行权限，我们应该这样做： $ chmod -x scriptfile.sh用户／组／其他粒度到此，我们的 chmod 示例已经影响到了所有三个三元组 — 用户、组和所有其他用户。通常，一次只修改一个或两个三元组很方便。要这样做，只需要在 + 或 - 符号之前，给您想要修改的特定的三元组指定符号字符。对于“用户”三元组使用 u，对于“组”三元组使用 g，对于“其他／每个人”使用 o：$ chmod go-w scriptfile.sh我们刚除去了组和所有其他用户的写权限，而保留“所有者”权限不动。 重新设置权限除了交替打开和关闭权限位以外，我们还可以一起重新设置它们。通过使用 = 操作符，我们可以告诉 chmod 我们要指定权限和取消别的权限：$ chmod =rx scriptfile.sh上面，我们只设置了所有的“read”和“execute”位，没有设置所有的“write”位。如果您仅仅想重新设置特定的三元组，您可以像下面这样，在 = 之前指定该三元组的符号名：
　　
　　$ chmod u=rx scriptfile.sh
　　
　　数字模式
　　
　　直到现在为止，我们使用了叫做“符号”的模式来用 chmod 指定权限的改变。然而，指定权限还有一种普遍使用的方法 — 使用 4 位八进制数。使用叫做数字权限语法的语法，每一位代表一个权限三元组。例如，在 1777 中，777 设置本章我们所讨论的“owner”、“group”和“other”标志。1 用来设置专门的权限位，我们将在本章的结束部分讲到。这个图表说明了怎样解释第二到四位（777）：
　　
　　模式 数字
　　rwx 7
　　rw- 6
　　r-x 5
　　r-- 4
　　-wx 3
　　-w- 2
　　--x 1
　　--- 0
　　
　　数字权限语法
　　
　　当您需要给一个文件指定所有权限时，数字权限语法特别有用，比如在下面的示例中：
　　
　　$ chmod 0755 scriptfile.sh
　　
　　$ ls -l scriptfile.sh
　　
　　-rwxr-xr-x　　1 drobbins drobbins　　　　0 Jan　9 17:44 scriptfile.sh
　　
　　在该示例中，我们使用了 0755 模式，它展开为一个完整的权限设置“-rwxr-xr-x”。
　　
　　Umask
　　
　　当进程创建了新文件时，它指定新文件应该具有的权限。通常，所请求的模式是 0666（每个人可读和可写），它比我们希望的具有更多的权限。幸运的是，不管什么时候创建了新文件，Linux 将参考叫做“umask”的东西。系统用 umask 值来将初始指定的权限降低为更合理、更安全的权限。您可以通过在命令行中输入 umask 来查看您当前的 umask 设置：
　　
　　$ umask
　　
　　0022
　　
　　Linux 系统上，umask 的缺省值一般为 0022，它允许其他人读您的新文件（如果他们可以得到它们），但是不能进行修改。为了在缺省的情况下使新文件更安全，您可以改变 umask 设置： $ umask 0077umask 将确保组和其他用户对于新创建的文件绝对没有任何权限。那么，umask 怎样工作呢？与文件的“常规”权限不同，umask 指定应该关闭哪一个权限。我们来参阅一下我们的“模式到数字”映射表，从而使我们可以理解 0077 的 umask 的意思是什么： 模式 数字 rwx 7 rw- 6 r-x 5 r-- 4 -wx 3 -w- 2 --x 1 --- 0 使用该表，0077 的最后三位扩展为 ---rwxrwx。现在，请记住 umask 告诉系统禁用哪个权限。根据推断，我们可以看到将关闭所有“组”和“其他”权限，而“用户”权限将保留不动。
　　
　　介绍 suid 和 sgid
　　
　　当您最初登录时，将启动一个新的 shell 进程。您已经知道，但是您可能还不知道这个新的 shell进程（通常是 bash）使用您的用户标识运行。照这样，bash 程序可以访问所有属于您的文件和目录。事实上，作为用户，我们完全依靠其它程序来代表我们执行操作。因为您启动的程序继承了您的用户标识，因此它们不能访问任何不允许您访问的文件系统对象。
　　
　　例如，一般用户不能直接修改 passwd 文件，因为“write”标志已经对除“root 用户”以外的每个用户关闭：
　　
　　$ ls -l /etc/passwd
　　
　　-rw-r--r--　　1 root　　 wheel　　　　1355 Nov　1 21:16 /etc/passwd
　　
　　但是，一般用户确实需要在他们需要改变其密码的任何时候，能够修改 /etc/passwd（至少间接地）。但是，如果用户不能修改该文件，究竟怎样完成这个工作呢？
　　
　　Suid
　　
　　幸好，Linux 权限模型有两个专门的位，叫做“suid”和“sgid”。当设置了一个可执行程序的“suid”这一位时，它将代表可执行文件的所有者运行，而不是代表启动程序的人运行。现在，回到 /etc/passwd 问题。如果看一看 passwd 可执行文件，我们可以看到它属于 root 用户：
　　
　　$ ls -l /usr/bin/passwd
　　
　　-rwsr-xr-x　　1 root　　 wheel　　　 17588 Sep 24 00:53 /usr/bin/passwd
　　
　　您还将注意到，这里有一个 s 取替了用户权限三元组中的一个 x。这表明，对于这个特殊程序，设置了 suid 和可执行位。由于这个原因，当 passwd 运行时，它将代表 root 用户执行（具有完全超级用户访问权），而不是代表运行它的用户运行。又因为 passwd 以 root 用户访问权运行，所以能够修改 /etc/passwd 文件，而没有什么问题。
　　
　　suid/sgid 告诫说明
　　
　　我们看到了 suid 怎样工作，sgid 以同样的方式工作。它允许程序继承程序的组所有权，而不是当前用户的程序所有权。这里有一些关于 suid 和 sgid 的其它的但是很重要的信息。首先，suid 和 sgid 占据与 ls -l 清单中 x 位相同的空间。如果还设置了 x 位，则相应的位表示为 s（小写）。但是，如果没有设置 x 位，它将表示为 S（大写）。另一个很重要的提示：在许多环境中，suid 和 suid 很管用，但是不恰当地使用这些位可能使系统的安全遭到破坏。最好尽可能地少用“suid”程序。passwd 命令是为数不多的必须使用“suid”的命令之一。
　　
　　改变 suid 和 sgid
　　
　　设置和除去 suid 与 sgid 位相当简单。这里，我们设置 suid 位：
　　
　　# chmod u+s /usr/bin/myapp
　　
　　此处，我们从一个目录除去 sgid 位。我们将看到 sgid 位怎样影响下面几屏中的目录：
　　
　　# chmod g-s /home/drobbins
　　
　　权限和目到此为止，我们从常规文件的角度来看权限。当从目录的角度看权限时，情况有一点不同。目录使用同样的权限标志，但是它们被解释为表示略微不同的含义。 对于一个目录，如果设置了“read”标志，您可以列出目录的内容；“write”表示您可以在目录中创建文件，“execute”表示您可以进入该目录并访问内部的任何子目录。没有“execute”标志，目录内的文件系统对象是不可访问的。没有“read”标志，目录内的文件系统对象是不可查看的，但是只要有人知道磁盘上对象的完整路径，就仍然可以访问目录内的对象。目录和 sgid如果启用了目录的“sgid”标志，在目录内创建的任何文件系统对象将继承目录的组。当您需要创建一个属于同一组的一组人使用的目录树时，这种特殊的功能很管用。只需要这样做：
　　
　　# mkdir /home/groupspace
　　
　　# chgrp mygroup /home/groupspace
　　
　　# chmod g+s /home/groupspace
　　
　　现在，mygroup 组中的所有用户都可以在 /home/groupspace 内创建文件或目录，同样，他们也将自动地分配到 mygroup 的组所有权。根据用户的 umask 设置，新文件系统对象对于 mygroup 组的其他成员来说，可以或不可以是可读、可写或可执行的。目录和删除缺省情况下，Linux 目录以一种不是在所有情况下都很理想的方式表现。一般来说，只要对一个目录有写访问权，任何人都可以重命名或删除该目录中的文件。对于个别用户使用的目录，这种行为是很合理的。但是，对于很多用户使用的目录来说，尤其是 /tmp 和 /var/tmp，这种行为可能会产生麻烦。因为任何人都可以写这些目录，任何人都可以删除或重命名任何其他人的文件 — 即使是不属于他们的！显然，当任何其他用户在任何时候都可以输入“rm -rf /tmp/*”并损坏每个人的文件时，很难把 /tmp 用于任何有意义的文件。所幸，Linux 有叫做“粘滞位”（sticky bit）的东西。当给 /tmp 设置了粘滞位（用 chmod +t），唯一能够删除或重命名 /tmp 中文件的是该目录的所有者（通常是 root 用户）、文件的所有者或 root 用户。事实上，所有 Linux 分发包都缺省地启用了 /tmp 的粘滞位，而您还可以发现粘滞位在其它情况下也很管用。难以理解的第一位总结本章，我们最后来看一看数字模式的难以理解的第一位数。您可以看到，这个第一位数用来设置 sticky、suid 和 sgid 位：
　　
　　suid sgid sticky 模式数字 on on on 7 on on off 6 on off on 5 on off off 4 off on on 3 off on off 2 off off on 1 off off off 0
　　
　　这里有一个怎样用 4 位数字模式来设置一个目录的权限的示例，该目录将由一个工作组使用： # chmod 1775 /home/groupfiles请想一想 1755 数字模式权限设置的含义。

 

 

我们知道文件的权限可以用三个八进制数字表示。其实文件的权限应该用四个八进制来表示，不过用 ls -l 命令时，只显示三个罢了。那个没有显示的八进制数字其实是第一个，它用来设定一些特殊权限。这个八进制数字的三个位是：

     SUID SGID sticky-bit

     它们的含义是：

SUID	当设置了 SUID 位的文件被执行时，该文件将以所有者的身份运行，也就是说无论谁来执行这个文件，他都有文件所有者的特权。如果所有者是 root 的话，那么执行人就有超级用户的特权了。这时该位将变成一个安全漏洞，因此不要轻易设置该位。
SGID	与上面的内容类似。文件运行时，运行者将具有所属组的特权。
sticky-bit	sticky 位要求操作系统既是在可执行程序退出后，仍要在内存中保留该程序的映象。这样做是为了节省大型程序的启动时间。但是会占用系统资源。因此设置该位，不如把程序写好。

set uid ；set gid；sticky bit区别

每一个文件有所有者及组编号，set uid ；set gid可以改变用户对文件具有的权限：写和执行.

setuid: 在执行时具有文件所有者的权限.
setgid: 设置目录. 一个目录被标上setgid位,此目录下创建的文件继承该目录的属性.
sticky bit: 该位可以理解为防删除位. 设置sticky bit位后，就算用户对目录具有写权限，但也只能添加文件而不能删除文件。

如何设置：

操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,
1) chmod u+s temp -- 为temp文件加上setuid标志. (setuid 只对文件有效，U=用户)
chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效，g=组名)
chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)

2) 采用八进制方式. 这一组八进制数字三位的意义如下,
abc
a - setuid位, 如果该位为1, 则表示设置setuid
b - setgid位, 如果该位为1, 则表示设置setgid
c - sticky位, 如果该位为1, 则表示设置sticky

设置后, 可以用 ls -l 来查看. 如果本来在该位上有x, 则这些特殊标志显示为小写字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)
如:

rwsrw-r-- 表示有setuid标志 (rwxrw-r--:rwsrw-r--)
rwxrwsrw- 表示有setgid标志 (rwxrwxrw-:rwxrwsrw-)
rwxrw-rwt 表示有sticky标志 (rwxrw-rwx:rwxrw-rwt)

理解文件权限

所谓的文件权限，是指对文件的访问权限，包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统，它允许多个用户同时登录和工作。因此 Linux 将一个文件或目录与一个用户和组联系起来。请看下面的例子：

     drwxr-xr-x 5 root root 1024 Sep 13 03:27 Desktop

     与文件权限相关联的是第一、第三、第四个域。第三个域是文件的所有者，第四个域是文件的所属组，而第一个域则限制了文件的访问权限。在这个例子中，文件的所有者是 root，所属的组是 root，文件的访问权限是 drwxr-xr-x。对于文件和目录讲，每个文件和目录都有一组权限标志和它们结合在一起，在上例中就是第一个域中的内容。下面来仔细分析这个域中各个符号的意义：

     该域由 10 个字符组成，可以把它们分为四组，具体含义分别是：

     d rwx r-x r-x

     文件类型 所有者权限标志 组权限标志 其他用户权限标志

     其中：

     文件类型：第一个字符。由于 Linux 系统对与设备、目录、文件都当作是文件来处理，因此该字符表明此文件的类型，字符与对应的意义如下表：

文件标志	文件类型	例子
-	普通文件	数据文件、 ASCII 纯文本文件、程序
d	目录	/bin
b	块设备	/dev/hda（第一个 IDE 硬盘）
c	字符设备	/dev/ttyS1（与 DOS 种的串口 2 等同）
s	套接字	/dev/log
p	命名管道	/dev/initctl（与“|”等同）
l	符号链接	/dev/modem->/dev/ttyS1

     权限标志：

     对每个文件或目录都有 4 类不同的用户。每类用户各有一组读、写和执行（搜索）文件的访问权限，这 4 类用户是：

     root：系统特权用户类，既 UID = 0 的用户。

     owner：拥有文件的用户。

     group：共享文件的组访问权限的用户类的用户组名称。

     world：不属于上面 3 类的所有其他用户。

     作为 root，他们自动拥有了所有文件和目录的全面的读、写和搜索的权限，所以没有必要明确指定他们的权限。其他三类用户则可以在耽搁文件或者目录的基础上别授权或撤消权限。因此对另外三类用户，一共 9 个权限位与之对应，分为 3 组，每组 3 个，分别用 r、w、x 来表示，分别对应 owner、group、world。

     权限位对于文件和目录的含义有些许不同。每组 3 个字符对应的含义从左至右的顺序，对于文件来说是：读文件的内容（r）、写数据到文件（w）、做为命令执行该文件（x）。对于目录来说是：读包含在目录中的文件名称（r）、写信息到目录中去（增加和删除索引点的连接）、搜索目录（能用该目录名称作为路径名去访问它所包含的文件或子目录）。具体来说就是：

         1． 有只读权限的用户不能用 cd 进入该目录；还必须有执行权限才能进入。

         2． 有执行权限的用户只有在知道文件名并拥有该文件的读权限的情况下才可以访问目录下的文件。

         3． 必须有读和执行权限才可以使用 ls 列出目录清单，或使用 cd 进入目录。

         4． 如用户有目录的写权限，则可以创建、删除或修改目录下的任何文件或子目录，既是该文件或子目录属于其他用户。

修改文件权限

     首先讲修改文件的所有权，使用 chown 和 chgrp 命令：

     chown new_user file or directory：修改文件或目录的所有者。

     chgrp new_group file or directory：修改文件或目录的所属组。

     这里需要注意的是：普通用户不能将文件或目录的所有权交与他人，只有 root 有这一权限。但是普通用户有权改变文件或目录的所属组。

     由于每类用户的权限都是由 rwx 三位组成，因此可以用三个八进制数字表示文件的访问权。一个八进制数字可以用三个二进制数字表示，那么与其对应，权值为 4 的位对应 r，权值为 2 的位对应 w，权值为 1 的位对应 x。对于一类用户，将这三位与其对应的权值相乘求和，就可以得出对该类用户的访问权限。

     改变文件访问权限的命令是 chmod，格式是：

     chmod permission file_name

     比如 chmod 764 a.txt,它表示对于文件的所有者，具有对该文件读、写、执行的权限。对于文件所属组的用户，拥有读、写的权限。对于其他用户，只有读权限。

     这里需要注意的是：文件的创建者是唯一可以修改该文件访问权限的普通用户，另外一个可以修改文件访问权限的用户是 root。

     还有一种表示方法，就是用字符串来设定文件访问权限。其中读用 r 表示，写用 w 表示，执行用 x 表示；所有者用 u 表示，组用户用 g 表示，其他用户用 o 表示，所有用户用 a 表示。那么上面例子就写成西面的模样：

chmod a+r,u+w,u+x,g+w a.txt

理解 SUID 和 SGID

    在上面的章节中，我们知道了文件的权限可以用三个八进制数字表示。其实文件的权限应该用四个八进制来表示，不过用 ls -l 命令时，只显示三个罢了。那个没有显示的八进制数字其实是第一个，它用来设定一些特殊权限。这个八进制数字的三个位是：

     SUID SGID sticky-bit

     它们的含义是：

SUID	当设置了 SUID 位的文件被执行时，该文件将以所有者的身份运行，也就是说无论谁来执行这个文件，他都有文件所有者的特权。如果所有者是 root 的话，那么执行人就有超级用户的特权了。这时该位将变成一个安全漏洞，因此不要轻易设置该位。
SGID	与上面的内容类似。文件运行时，运行者将具有所属组的特权。
sticky-bit	sticky 位要求操作系统既是在可执行程序退出后，仍要在内存中保留该程序的映象。这样做是为了节省大型程序的启动时间。但是会占用系统资源。因此设置该位，不如把程序写好。