L9 Linux特殊权限set_uid,set_gid,stick_bit,软链接和硬连接文件

linux执行“ps -aux”命令，列出当前系统中的所有进程，从中可以看到每个进程都和用户的真实id关联
user 用户名
uid 用户号
pid 进程号
实际上，Linux中的每个进程还跟一个称为有效用户id（set User id）紧密关联。
真实id表示该进程由那个用户控制，有效用户用于为新建立的文件分配所有权，检查文件访问许可等操作，同时有效用户为该文件的所有者。
 linux系统内核允许一个进程以调用一个SetUID程序（或显示执行SetUID系统调用）的方式，来改变其自身的有效用户id。

9.1 set_uid
用户的信息保存在文件/etc/passwd中，用户的密码保存在文件/etc/shadow中，也就是说用户更改自己密码时是修改了/etc/shadow文件中的加密密码执行命令“ls /usr/bin/passwd”,在返回信息中的文件所有者执行权限位上显示“s”字样，表示“passwd”命令具有SetUID权限，其所有者为Root，这样普通用户在执行“passwd”命令时，实际上以有效用户root的身份来执行的，并具有了相应的权限，从而将新的密码写入到“/etc/passwd”和“/etc/shadow”文件中，当命令执行完毕，该用户的身份立即消失。
如何设置SetUID权限呢？

chmod u+s /usr/bin/ls 设置set_uid权限
chmod u-s /usr/bin/ls 取消set_uid权限
chmod u=rws /usr/bin/ls 大S因为该文件没有x权限所致
9.2 set_gid
Set gid,属组有s权限，意思就是执行此程序时，此进程的属组不再是运行者本人所属的基本组，而是此程序文件的属组。Set gid权限如果给文件设置，是让运行此文件的其它用户具有这个文件的属组特性；给目录设置Set gid权限，任何用户在该目录下创建的文件，则该文件属组都和目录的属组一致。

greg11创建111.txt

9.3 粘滞位，sticky
工作中经常会遇到这样一个问题？
运维和开发同属于技术部，用户同属于一个组，文件在一个目录中，运维人员和开发人员可以相互之间访问自己的文件，要是一个一个修改属组就有点麻烦，这时候用setgid就会很方便的解决这个问题。
把greg和greg2添加到同一组testgrp

greg11创建文件11.txt
这时greg22无法写入greg创建的文件
执行chmod g+s /tmp/test/
greg11创建111.txt
greg22可以写入了
问题来了，greg2把greg创建的c.txt给删掉了
但是这个不但可以能成功写进去，还可以删除文件，我们只能自己删除自己的文件，不想让其他用户删除我们的文件，这时候怎么办呢？
粘滞位权限便是针对此种情况设置，当⽬录被设置了粘滞位权限以后，即便⽤户对该⽬录有写⼊权限，也不能删除该⽬录中其他⽤户的⽂件数据，⽽是只有该⽂件的所有者和root⽤户才有权将其删除。设置了粘滞位之后，正好可以保持⼀种动态的平衡：允许各⽤户在⽬录中任意写⼊、删除数据，但是禁⽌随意删除其他⽤户的数据。

9.4 软链接和硬连接文件
inode
文件储存在硬盘上，硬盘的最小存储单位叫做"扇区"（Sector）。每个扇区储存512字节（相当于0.5KB）。
操作系统读取硬盘的时候，不会一个个扇区地读取，这样效率太低，而是一次性连续读取多个扇区，即一次性读取一个"块"（block）。这种由多个扇区组成的"块"，是文件存取的最小单位。"块"的大小，最常见的是4KB，即连续八个 sector组成一个 block。
文件数据都储存在"块"中，那么很显然，我们还必须找到一个地方储存文件的元信息，比如文件的创建者、文件的创建日期、文件的大小等等。这种储存文件元信息的区域就叫做inode，中文译名为"索引节点"。

Symbolic Links : 文件A和文件B的inode号码虽然不一样，但是文件A的内容是文件B的路径。读取文件A时，系统会自动将访问者导向文件B。因此，无论打开哪一个文件，最终读取的都是文件B。这时，文件A就称为文件B的"软链接"（soft link）或者"符号链接（symbolic link）。
现在有文件a，我们做了一个软链接文件b（只是一个链接文件，非常小），b指向了文件a。
当读取b时，那么b就会把读取的动作转发到a上，这样就读取到了文件a。
所以，当删除文件a时，文件b并不会被删除，但是再读取b时，会提示无法打开文件。而，当删除b时，a是不会有任何影响的。
ln -s命令可以创建软链接。
ln -s 源文文件或目录 目标文件或目录

Hard Links : 文件名和inode号码是"一一对应"关系，每个inode号码对应一个文件名。但是，Unix/Linux系统允许，多个文件名指向同一个inode号码。这意味着，可以用不同的文件名访问同样的内容；对文件内容进行修改，会影响到所有文件名；但是，删除一个文件名，不影响另一个文件名的访问。这种情况就被称为"硬链接"（hard link）。
当系统要读取一个文件时，就会先去读inode table，然后再去根据inode中的信息到块区域去将数据取出来。而hard link 是直接再建立一个inode链接到文件放置的块区域。也就是说，进行hard link的时候实际上该文件内容没有任何变化，只是增加了一个指到这个文件的inode, hard link 有两个限制：
(1)不能跨文件系统，因为不同的文件系统有不同的inode table; 
(2) 不能链接目录。
ln 源文件 目标文件
运行上面这条命令以后，源文件与目标文件的inode号码相同，都指向同一个inode。inode信息中有一项叫做"链接数"，记录指向该inode的文件名总数，这时就会增加1。反过来，删除一个文件名，就会使得inode节点中的"链接数"减1。当这个值减到0，表明没有文件名指向这个inode，系统就会回收这个inode号码，以及其所对应block区域。

在一台配置较低的Linux服务器（内存、硬盘比较小）的/data分区内创建文件时，系统提示磁盘空间不足，用df -h命令查看了一下磁盘使用情况，发现/data分区只使用了66%，还有12G的剩余空间，按理说不会出现这种问题。 后来用df -i查看了一下/data分区的索引节点(inode)，发现已经用满(IUsed=100%)，导致系统无法创建新目录和文件。 

查找原因：

　　/data/cache目录中存在数量非常多的小字节缓存文件，占用的Block不多，但是占用了大量的inode。 

解决方案：

　　1、删除/data/cache目录中的部分文件，释放出/data分区的一部分inode。

　　2、用软连接将空闲分区/opt中的newcache目录连接到/data/cache，使用/opt分区的inode来缓解/data分区inode不足的问题：

　　ln -s /opt/newcache /data/cache