文件特殊权限：SetUID，SetGID，Stick_BIT

看一下 /tmp/ 和 /bin/passwd 的权限：

   drwxrwxrwt. 7 root root 4096 5月  15 20:22 /tmp/
  -rwsr-xr-x. 1 root root 27832 6月  10 2014 /bin/passwd

会发现 /tmp/ 的 other 权限中，x 变成了 t；/bin/passwd owner 权限中，x 变成了 s

1. SUID 原理

• /etc/passwd 文件的权限为-rw-r--r--，表示只有 root 能够更改该文件
• 用户使用 /bin/passwd命令进行改密，自动修改了 /etc/passwd文件
• 是不是冲突了？明明 /etc/passwd 文件只有 root 能更改，但普通用户自己进行改密时也能修改
  —— SUID 的原因

• SUID 权限仅针对 二进制可执行程序 有效，不能够用在 shell script 文件上
  问：什么是二进制可执行程序？所有命令都是二进制可执行程序吗？
  答：自己先用 file 命令看看 /bin/ls、/bin/cd、/bin/passwd 这些命令，那些说明是 64-bit、32-bit 的就是二进制可执行程序。或者可以 cat 一下这些命令，能正常看到内容的就不是！

• 执行者在执行该程序的时候将具有 owner 的权限
  这就解答了我们的疑惑，属于 other 的用户在执行 /bin/passwd 时，自动获取到了 owner 的权限，也就是 root 的权限，所以才能够修改 /etc/passwd 文件

• 本权限仅在执行该程序的过程中有效
  注意，仅是在执行具有该属性的程序时才有其 owner 的权限

• 执行者的角色（other）必须对该程序具有 x 权限
  都说了只有在执行过程中才能取得相应权限，所以起码要先能执行吧！

• 仅能针对文件，对目录是无效的

2. SGID 原理

SGID 对二进制可执行文件、目录都有效。
对于二进制可执行文件，其效果与 SUID 类似；
对于目录，其效果有些不同

• 对于二进制可执行文件
  a. 执行者的角色必须对该程序具有 x 权限
  b. 执行者在执行该程序时将具有 group 的权限
  c. 该权限仅在执行该程序的过程中有效

• 对于目录
  a. 用户的角色起码要对该目录具有 r、x权限
  b. 用户在此目录下的有效用户组将变成该目录的所属组
  c. 如果用户的角色对该目录拥有 w 权限，则其新建的文件的所属组都是该目录的所属组

简单解释一下SGID的作用：

• 用户 A、B 都属于 G 组
• 有一个目录 DIR，所属组也为 G
• A 到 DIR 中新建了一个文件 FILE，那么该 FILE 的权限为664（普通用户 umask=002），且 owner 与 group 都为 A
• 由于 FILE 的 owner、group 都为 A，就导致 B 对于该文件属于 other 的角色，只具有 r 的权限
• 但 A、B 都属于 G 组，他们共同在进行一个项目，对于 DIR 中的文件都需要进行 rw
• 此时将 DIR 加上 SGID 权限，那么无论 A 或是 B 再新建文件，该文件的 group 就都是 G 了，这样 A、B 对所有新建的文件都由 rw权限了
  更直观的见代码：

## 新建项目组： project
## 添加两名项目组成员：alice、bob，且他两属于 project 组
[root@localhost /]# groupadd project
[root@localhost /]# useradd -G project alice ; useradd -G project bob
[root@localhost /]# id alice
uid=1001(alice) gid=1002(alice) 组=1002(alice),1001(project)
[root@localhost /]# id bob
uid=1002(bob) gid=1003(bob) 组=1003(bob),1001(project)

## 他两需要共同维护一些文件，那么给他们建一个共用的目录，这样他两不就能一起维护文件了吗？
[root@localhost /]# mkdir /srv/ahome && ll -d /srv/ahome
drwxr-xr-x. 2 root root 6 5月  15 23:13 /srv/ahome

## 目录的 group 改为 project，并给目录770的权限
[root@localhost /]# chown :project /srv/ahome/ && chmod 770 /srv/ahome/ && ll -d /srv/ahome/
drwxrwx---. 2 root project 6 5月  15 23:13 /srv/ahome/

## 目录建好了，Alice 在该目录下建了个文件
[root@localhost /]# su alice
[alice@localhost /]$ cd /srv/ahome/
[alice@localhost ahome]$ touch jobs
[alice@localhost ahome]$ exit

## Bob 来试试能不能一起维护文件
[root@localhost /]# su bob
[bob@localhost ahome]$ ll -d /srv/ahome/
drwxrwx---. 2 root project 32 5月  15 23:17 /srv/ahome/  # Bob：嗯，我的 group 和这个目录相同，能 rwx
[bob@localhost /]$ cd /srv/ahome/
[bob@localhost ahome]$ ll jobs
-rw-rw-r--. 1 alice alice 0 5月  15 23:15 jobs          # Bob：逗我？这个文件的 owner 和 group 都是 alice，劳资属于 other，只能看！！

## 怎么办呢？试试 SGID 吧！！
[root@localhost /]# chmod 2770 /srv/ahome/ && ll -d /srv/ahome/
drwxrws---. 2 root project 17 5月  15 23:15 /srv/ahome/       # group 的 x 权限变成 s 了

## Alice 再来建个新文件
[root@localhost /]# su alice
[alice@localhost /]$ cd /srv/ahome/
[alice@localhost ahome]$ touch new_jobs
[alice@localhost ahome]$ ll new_jobs
-rw-rw-r--. 1 alice project 0 5月  15 23:17 new_jobs    
## 嗯，这回只要能在这个目录里建文件的人，该文件的 group 都会自动变成 project，配合上默认664的权限，那只要是能进来这个目录的人都能以 project 这个组的身份进行 rw 了。

注意：如果带有 SGID 的目录对于 other 角色的权限为 r-x，即便目录下的文件对于 other 用户权限仅为 r--，other 也能够进入该目录后，使用 vim 强制 修改该文件。因此对于带有 SGID 的目录（通常作共享用），要谨慎控制 other 的权限，尽量设置成0

3. SBIT 原理

仅对目录有效
效果就是，在这个目录下，我建立的文件，别人不能删除，但是否能修改要看别人是否有 w 权限
总结成一句话：“我的文件，我做主”，当然 root 也能删。

4. 设置方法

• 分值分配
  • SUID：4
  • SGID：2
  • SBIT：1

• 数字化的更改
  仅需在普通的3位权限前再加一位，该位的值为 SUID、SGID、SBIT 的和，与 rwx 的计算方法一样
  如：
  chmod 4644 /bin/passwd # 拥有 SUID
chmod 3755 /srv/work/ # 同时具有 SGID、SBIT

• 字符化的更改
  • SUID：chmod u+s
  • SGID：chmod g+s
  • SBIT： chmod o+t
    这里就不穷举了，跟正常设置权限的方式其实是一样的

5. 其他

有时会发现权限中出现大写的 S、T。
如果设置了 SUID，但 owner 自己都没有 x权限时，则文件权限上会显示 S
如果设置了 SGID，但 group 自己都没有 x权限时，则文件权限上会显示 S
如果设置了 SBIT，但 owner 自己对这个目录都没有 w 权限时，则目录权限上会显示 T