在查看Linux上的文件权限时,有时您会看到的不仅仅是通常的r、w、x和-名称。您可能会看到s或t而不是rwx,如下例所示:drwxrwsrwt进一步阐明这一点的一种方法是使用stat命令查看权限。stat输出的第四行以八进制和字符串格式显示文件权限:$stat/var/mailFile:/var/mailSize:4096Blocks:8IOBlock:4096directoryDe??vice:801h/2049dInode:1048833Links:2Access:(3777/drwxrwsrwt)Uid:(0/root)Gid:(8/mail)Access:2019-05-2119:23:15.769746004-0400Modify:2019-05-2119:03:48.226656344-0400Change:2019-05-2119:03:48.226656344-0400Birth这个输出提醒我们分配给文件权限的数字不止9位,实际上有12位。多出的3位提供了一种分配权限的方式,超出了通常的读、写和执行;例如,3777(二进制011111111111)表示正在使用两个附加设置。此特定值中的第一个1(位2)代表SGID(设置组ID)并分配临时权限以运行文件,或使用具有关联组权限的目录。011111111111^SGID将临时权限授予作为该组成员使用该文件的人员。第二个1(位3)是“粘性”位。它确保只有文件的所有者才能删除或重命名文件或目录。011111111111^如果权限是7777而不是3777,我们已经知道SUID(SetUID)字段也被设置了。111111111111^SUID将临时权限授予使用此文件的用户作为文件的所有者。至于我们上面看到的/var/mail目录,所有的用户都需要一定的访问权限,所以需要一些特殊的值来提供它。但现在让我们更进一步。特殊权限位的常见用途是用于诸如passwd命令之类的命令。如果您查看/usr/bin/passwd文件,您会注意到设置了SUID位,允许您更改密码(从而更新/etc/shadow文件的内容),即使您是以普通(非特权)用户身份运行,没有对该文件的读取或写入权限。当然,passwd命令足够聪明,不允许您更改其他人的密码,除非您实际上以root身份运行或使用sudo。$ls-l/usr/bin/passwd-rwsr-xr-x1rootroot63736Mar2214:32/usr/bin/passwd$ls-l/etc/shadow-rw-r-----1rootshadow2195Apr2210:46/etc/shadow现在,让我们来看看您可以使用这些特殊权限做什么。如何分配特殊文件权限?与Linux命令行上的许多事情一样,您可以选择如何发出请求。chmod命令允许您以数字方式或使用字符表达式更改权限。要以数字方式更改文件权限,您可以使用这样的命令来设置setuid和setgid位:$chmod6775tryme或者您可以使用这样的命令:$chmodug+stryme<==forSUIDandSGIDpermissions如果添加特殊权限的文件是脚本,您可能会感到惊讶,它没有达到您的期望。这是一个非常简单的示例:$cattryme#!/bin/bashechoIam$USER即使设置了SUID和SGID位,该文件的所有者是root,运行这样的脚本也不会出现“我是root”的响应。为什么?因为Linux会忽略脚本中的set-user-ID和set-group-ID位。$ls-ltryme-rwsrwsrwt1rootroot29May2612:22tryme$./trymeIamjdoe另一方面,如果您尝试对已编译程序执行类似操作,例如这个简单的C程序,您会看到不同的效果。在这个示例程序中,我们提示用户输入一个文件并为其创建一个文件,并授予对该文件的写权限。#includeintmain(){FILE*fp;/*filepointer*/charfName[20];printf("Enterthenameoffiletobecreated:");scanf("%s",fName);/*createthefilewithwritepermission*/fp=fopen(fName,"w");/*checkiffilewascreated*/if(fp==NULL){printf("Filenotcreated");exit(0);}printf("Filecreatedsuccessfully\n");return0;}编译程序后,运行命令使root成为所有者并设置所需的权限后,您将看到它以预期的root权限运行,留下root拥有的新创建的文件。当然,您必须具有sudo权限才能运行某些必需的命令。$cc-omkfilemkfile.c<==编译程序$sudochownroot:rootmkfile<==changeownerandgroupto"root"$sudochmodug+smkfile<==addSUIDandSGIDpermissions$./mkfile<==runtheprogramEnternameofffiletobecreate:emptyFilecreatedsuccessfully$ls-lempty-rw-rw-r--1rootroot0May2613:15empty请注意,此文件归root所有——如果程序不是以root权限运行,则不会发生这种情况。在权限字符串中放置不常见的设置(如rwsrwsrwt)可以帮助提醒我们每一位的含义。至少第一个“s”(SUID)在所有者权限区,第二个(SGID)在组权限区。为什么粘性位是“t”而不是“s”超出了本文的范围。不管怎样,额外的权限设置为Linux和其他Unix系统提供了许多额外的功能。原标题:深入探究Linux权限,作者:SandraHenry-Stocker
