Notes: Linux的SUID、SGID和SBIT

Linux的SUID和SGID和SBIT是让其它用户组的人具有特殊权限的设置。

SUID是出现在文件所有者权限的执行权限处的，代表字母为s。

SGID是出现在文件所属用户组权限的执行权限处的，代表字母为s。

SBIT是出现在其它用户的执行权限处的，代表字母为t.

在开始详细介绍三个特殊的权限前，首先介绍一个effective user group（有效用户组的概念）。

在Unix进程中涉及多个用户ID和用户组ID，包括如下：

1、实际用户ID和实际用户组ID：标识我是谁。也就是登录用户的uid和gid，比如我的Linux以simon登录，在Linux运行的所有的命令的实际用户ID都是simon的uid，实际用户组ID都是simon的gid（可以用id命令查看）。


2、有效用户ID和有效用户组ID：进程用来决定我们对资源的访问权限。一般情况下，有效用户ID等于实际用户ID，有效用户组ID等于实际用户组ID。当设置-用户-ID（SUID）位设置，则有效用户ID等于文件的所有者的uid，而不是实际用户ID；同样，如果设置了设置-用户组-ID（SGID）位，则有效用户组ID等于文件所有者的gid，而不是实际用户组ID。

具有SUID的执行权限是让本身对程序具有x权限的用户能在程序运行时获得了程序所有者的权限。举个例子，如果一个程序的权限是-rwsr-xr-x的话，如果你身属其它用户，但你具有x权限。当你执行这个程序时，你就具有可以改写这个程序的权利。需要注意的，SUID只对可执行的文件有效，对目录和shell script无效。

SGID是出现在文件所属用户组权限的执行权限处的，SGID可以设置目录和可执行文件。使得本身对程序具有x权限的用户能在程序运行时获得了程序所在用户组的权限。

如：

当所在用户组在其它用户中，执行locate这个命令时，就获得了locate的用户组的支持，以访问位于/var/lib/mlocate/mlocate.db的数据。因为该数据文件的权限是：-rw-r-----。只有获得了用户组的支持，才能访问这个文件。

当SGID出现在文件夹的用户组权限处，代表着本身对这个目录具有r和x的用户可以访问这个目录，并在进入这个目录后，获得这个目录用户组的权利。如果用户组权限具有w权限，那么修改好这个文件夹后，修改的文件的用户组仍是本身文件夹的用户组。

SBIT的全称是Sticky Bit，它只对文件夹起作用。（SUID则只对文件起作用，SGID则文件夹和文件都能起作用）。SBIT使得原来对文件夹有w和x的用户，只能在该文件夹修改、删除属于自己的文件。当然，root是谁的文件都可以动的，但普通用户只能修改和删除属于自己的文件。

那么，怎么修改权限为普通的权限配上SUID、SGID和SBIT呢？

可以这么做：

chmod 4xxx [filename] #SUID
chmod 2xxx [filename] #SGID
chmod 1xxx [filename] #SBIT

#Why?
#Because SUID is on the third group of rights. In the binary presentation, the third bit is 2^2 = 4. Therefore, SGID is 2 and SBIT is 1.

#Also, you can combine them together

chmod 6xxx [filename] #SUID+SGID

但你也可以这么做：

#Another way 

chmod u+s/g+s/o+s [filename]

但如果该文件/文件夹本身的权限xxx中的执行位本身都是0，那么赋值一个SUID、SGID或者SBIT上去只会有大写的S或者T。代表为空。