Linux中文件三种特殊权限探讨.docVIP

Linux中文件三种特殊权限探讨 　　摘 要 　　Linux系统中的文件权限除了读、写、执行之外，还有三种特殊权限，即Suid、Sgid和Sticky。本文对这三种特殊权限的意义和用法进行探讨，并举例说明这些权限在实际工作中的应用。 　　【关键词】特殊权限 Suid Sgid Sticky 应用 　　1 Linux系统中的三种文件特殊权限 　　Linux系统中的文件权限有很多种，最普通的权限是读、写和执行，但是在一个非常强 　　调系统安全性的操作系统中，文件如果只具有这三种基本权限显然是远远不够的。所以，Linux系统还设有三种特权的文件权限，即Suid、Sgid和Sticky。当然，除了这三种特殊权限外，还有一些其它的重要的权限，本文只对这三种特殊的文件权限做研究和探讨。 　　1.1 Suid权限 　　如果在一个可执行文件上应用Suid权限，那么任何人在执行该命令时会临时得到拥有 　　人的权限。 　　对于Suid权限还有以下几点限制： 　　（1）Suid权限仅对命令（可执行文件或二进制文件）有效。 　　（2）执行者对于该命令需要具有x的权限。 　　（3）本权限仅在执行该命令的过程中有效。 　　（4）执行者将具有该命令拥有人的权限。 　　最后，还有一点要说明的是，Suid权限仅用在二进制文件上（命令），不能够用在shell script上面。这是因为shell script只是将很多的二进制执行文件调进来执行而已。所以Suid的权限部分，还是得看shell script调用进来的程序的设置，而不是shell script本身。 　　1.2 Sgid权限 　　Sgid全限既可以针对命令设置，也可以针对目录设置。如果是针对命令，则与Suid类似，只是此时执行者获得的是命令拥有组的权限，这种情况较少用到。用得较多的是针对目录的设置。 　　如果在一个目录上应用sgid权限，那么任何人在该目录中创建的文件会自动继承目录本身的组。 　　具体分析一下Sgid权限的功能，若对一个目录应用了该权限，则： 　　（1）用户若对该目录具有r与x权限，该用户能够进入该目录; 　　（2）将用户加到某个组中，将目录的拥有组也改为这个组; 　　（3）若用户对这个目录有w权限，则可在其下创建目录和文件，则这些目录和文件将与该目录的拥有组相同。 　　1.3 Sticky权限 　　Sticky权限只针对目录有效，如果在一个目录上应用Sticky权限，那么仅root用户和该目录下的文件拥有人才能删除该文件。 　　上面介绍了三种特殊权限的功能，那么如何配置文件使其成为具有这些特殊权限呢？可以采用数字方式也可以采用字符的方式。 　　如果采用数字方式，则在三位基本权限数字前再加一位，代表特殊权限。其中4代表Suid，2 代表Sgid，1代表Sticky。 　　如果采用字符方式，由于Suid是针对拥有人的，所以在拥有人的权限栏位上将x改为s;Sgid是针对拥有组的，所以在拥有组的栏位上将x改为s;Sticky是针对其他人的，所以在其他人的栏位上将x改为t。 　　2 三种文件特殊权限在实际工作中的应用 　　这三种特殊权限在实际工作中非常有用，下面通过几个例子来加以说明。 　　2.1 Suid权限的应用 　　系统中的所有用户的密码存放在文件/etc/shadow中，查看该文件的权限是“r--------”， 　　代表只有root用户对该文件有读权限，当然也可以强制写入。但是每一个普通用户却是可以通过执行“passwd 用户名”的命令来更改自己的密码的，而密码信息则是写入/etc/shadow文件中的！也就是说普通用户对/etc/shadow有写的权限！这似乎和查看到的该文件的权限矛盾了。但事实上就是因为/usr/bin/passwd这个命令的权限问题，该命令（二进制文件）的权限为“rwsr-xr-x”，其中拥有人的栏位中x的位置变成了s，这就是Suid权限。表示当普通用户在执行passwd命令是临时拥有了root的权限，所以普通用户可以修改自己的密码。 　　2.2 Sgid权限的应用 　　对于Sgid权限则更多地应用于项目开发。对于一个开发小组的成员，总是希望每个组 　　员创建的文件，其他组员可以去修改，这样才能达到团队合作的目的。 　　例如，考虑这样的场景： 　　一个IT项目组里有三个成员：IT1、IT2和IT3，共同开发一个项目。为了便于彼此之间的合作，建立一个大家可以共享的目录/project。正常情况下，若IT1在/project下创建了一个文件或目录，IT2和IT3是无法修改的，不便于项目合作。为了解决这个问题，可以采用给/project目录设置Sgid权限。 　　先将IT1、IT2和IT