Linux的SUID和SGID和SBIT是让其它用户组的人具有特殊权限的设置。
SUID是出现在文件所有者权限的执行权限处的,代表字母为s。
SGID是出现在文件所属用户组权限的执行权限处的,代表字母为s。
SBIT是出现在其它用户的执行权限处的,代表字母为t.
在开始详细介绍三个特殊的权限前,首先介绍一个effective user group(有效用户组的概念)。
在Unix进程中涉及多个用户ID和用户组ID,包括如下:
1、实际用户ID和实际用户组ID:标识我是谁。也就是登录用户的uid和gid,比如我的Linux以simon登录,在Linux运行的所有的命令的实际用户ID都是simon的uid,实际用户组ID都是simon的gid(可以用id命令查看)。
2、有效用户ID和有效用户组ID:进程用来决定我们对资源的访问权限。一般情况下,有效用户ID等于实际用户ID,有效用户组ID等于实际用户组ID。当设置-用户-ID(SUID)位设置,则有效用户ID等于文件的所有者的uid,而不是实际用户ID;同样,如果设置了设置-用户组-ID(SGID)位,则有效用户组ID等于文件所有者的gid,而不是实际用户组ID。
具有SUID的执行权限是让本身对程序具有x权限的用户能在程序运行时获得了程序所有者的权限。举个例子,如果一个程序的权限是-rwsr-xr-x的话,如果你身属其它用户,但你具有x权限。当你执行这个程序时,你就具有可以改写这个程序的权利。需要注意的,SUID只对可执行的文件有效,对目录和shell script无效。
SGID是出现在文件所属用户组权限的执行权限处的,SGID可以设置目录和可执行文件。使得本身对程序具有x权限的用户能在程序运行时获得了程序所在用户组的权限。
如:
当所在用户组在其它用户中,执行locate这个命令时,就获得了locate的用户组的支持,以访问位于/var/lib/mlocate/mlocate.db的数据。因为该数据文件的权限是:-rw-r-----。只有获得了用户组的支持,才能访问这个文件。
当SGID出现在文件夹的用户组权限处,代表着本身对这个目录具有r和x的用户可以访问这个目录,并在进入这个目录后,获得这个目录用户组的权利。如果用户组权限具有w权限,那么修改好这个文件夹后,修改的文件的用户组仍是本身文件夹的用户组。
SBIT的全称是Sticky Bit,它只对文件夹起作用。(SUID则只对文件起作用,SGID则文件夹和文件都能起作用)。SBIT使得原来对文件夹有w和x的用户,只能在该文件夹修改、删除属于自己的文件。当然,root是谁的文件都可以动的,但普通用户只能修改和删除属于自己的文件。
那么,怎么修改权限为普通的权限配上SUID、SGID和SBIT呢?
可以这么做:
chmod 4xxx [filename] #SUID
chmod 2xxx [filename] #SGID
chmod 1xxx [filename] #SBIT
#Why?
#Because SUID is on the third group of rights. In the binary presentation, the third bit is 2^2 = 4. Therefore, SGID is 2 and SBIT is 1.
#Also, you can combine them together
chmod 6xxx [filename] #SUID+SGID
但你也可以这么做:
#Another way
chmod u+s/g+s/o+s [filename]
但如果该文件/文件夹本身的权限xxx中的执行位本身都是0,那么赋值一个SUID、SGID或者SBIT上去只会有大写的S或者T。代表为空。