unsigned int f_uid, f_gid;//文件的所有者ID,所有者所在组ID
mode_t f_mode;
2. stat()、fstat() 、lstat()三个函数将某文件(第一个参数指定)的状态填写到第二个参数所指的结构体struct stat中,在stat结构体中有:
uid_t st_uid;
gid_t st_gid;//这二者的作用同上
mode_t st_mode;
3. 在进程控制块task_struct中有:
uid_t uid,euid,suid,fsuid;
gid_t gid,egid,sgid,fsgid;
表示含义:
域名 | 含义 |
uid、gid | 实际用户标识符、有效组标识符:进程属于哪个用户和用户组 |
euid、egid、附加组ID | 有效用户标识符、有效组标识符:决定对文件的访问权限 |
4. 通常,进程的euid等于进程的uid,egid等于gid;但是可以在文件模式字(f_mode)中设置特殊标志set-user-ID位(使用命令chmod u+s filename)和set-group-ID位(使用命令chmod g+s filename)使得当执行此文件时“设置进程的euid为文件的所有者ID(st_uid) 设置进程的egid为文件的用户组ID(st_gid)”,则可以对文件进行访问了(如对普通用户给予超级用户权限)。
如果一个文件被设置了SUID或SGID位,会分别表现在所有者或同组用户的权限的可执行位上。例如:
1、-rwsr-xr-x 表示SUID和所有者权限中可执行位被设置
2、-rwSr--r-- 表示SUID被设置,但所有者权限中可执行位没有被设置
3、-rwxr-sr-x 表示SGID和同组用户权限中可执行位被设置
4、-rw-r-Sr-- 表示SGID被设置,但同组用户权限中可执行位没有被设置
其实在UNIX的实现中,文件权限用12个二进制位表示,如果该位置上的值是
1,表示有相应的权限:
11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
第11位为SUID位,第10位为SGID位,第9位为sticky位,第8-0位对应于上面的三组rwx位。
11 10 9 8 7 6 5 4 3 2 1 0
上面的-rwsr-xr-x的值为: 1 0 0 1 1 1 1 0 1 1 0 1
-rw-r-Sr--的值为: 0 1 0 1 1 0 1 0 0 1 0 0
给文件加SUID和SUID的命令如下:
chmod u+s filename 设置SUID位
chmod u-s filename 去掉SUID设置
chmod g+s filename 设置SGID位
chmod g-s filename 去掉SGID设置
另外一种方法是chmod命令用八进制表示方法的设置。如果明白了前面的12位权限表示法也很简单。
SUID的优先级比SGID高,当一个可执行程序设置了SUID,则SGID会自动变成相应的egid;
S与s的区别,当对文件本身拥有执行权限时设置suid(或者sgid)时,会变成小写s,表示同时具有执行权限和suid(或者sgid);否则会变成大写S,表示不具备执行权限,没有执行权限的suid和sgid实际变得没有效果(因为程序不能执行,euid和egid不能改变为文件的所有者id)。
Sticky bit 粘住位
如果对一个目录设置了粘住位,则只有对该目录具有写权限的用户在满足下列条件之一的情况下,才能删除或更改该目录下的文件:
a. 拥有此文件
b. 拥有此目录
c. 是超级用户
如/tmp设置了粘住位:任何用户的可以在目录中创建文件,对目录的权限都是rwx,但是不能删除或更名属于其他人的文件。
5. 进程每次打开、创建或删除一个文件时,内核就进行文件访问权限测试,这种测试可能 涉及文件的所有者(st_uid和st_gid)、进程的有效ID(euid和egid)以及进程的附加 组ID(如果支持的话)。
测试过程:
(1) 若进程的euid是0(超级用户),则允许自由访问该文件;
(2) 若进程euid等于文件的st_uid,那么可以根据该文件给予拥有者的读、写、执行权限进行访问;
(3) 若进程的egid或附加组ID之一等于文件的st_gid,则根据文件给予同组用户的读、写、执行权限进行访问;
(4) 最后,只能根据文件给予其他用户的读、写、执行权限进行访问;
(5) 否则,拒绝该进程对文件的访问。
6. 新文件和目录的所有权(二者规则相同)
f_uid的设置为:新文件的f_uid设置为创建该文件的进程的euid;
f_gid的设置为:
新文件所在目录的set-group-ID位如果设置,则新文件的f_gid设置为所在目录文件的组ID(f_gid);如果没有设置该位,则将新文件的f_gid设置为创建进程的有效组ID(egid)(差不多是4的逆操作)。
7. access测试函数(只起测试作用)
测试进程的实际用户ID(uid)和实际用户组ID(gid)对文件是否具有读、写、执行权限还可以测试文件是否存在。
测试过程同5,只是将“有效”改成:“实际”