linux文件特殊权限指令,Linux-文件特殊权限：SUID，SGID，SBIT

##Set UID

当s这个标志出现在文件拥有者的x权限上时，例如/usr/bin/passwd这个文件的权限状态: '-rwsr-xr-x'，此时就被称为Set UID，简称为SUID的特殊权限，基本上SUID有这样的限制与功能：

SUID权限仅对二进制程序(binary program)有效；

执行者对于该程序需要具有x的可执行权限；

本权限仅在执行该程序的过程中有效(run-time);

执行者将具有该程序拥有者(owner)的权限。

简单来说，在Linux系统中，所有账号的密码都记录在/etc/shadow这文件里面，这个文件的权限为："---------- 1 root root"，意思是这个文件仅有root可读且仅有root可以强制写入，既然这个文件仅有root可以修改，那么一般账号的使用者能否自行修改自己的密码呢？可以使用自己的账号输入"passwd"这个指令来看看，一般使用者当然可以修改自己的密码。

明明/etc/shadow就不能让一般用户去存取，为什么一般用户还能修改这个文件的密码呢？这就是SUID的功能。借助上述的说明，我们可以知道：

一般用户对于/usr/bin/passwd这个程序来说是具有x权限的，表示一般用户能执行passwd；

passwd的拥有者是root这个账户；

一般用户在执行passwd的过程中，会"暂时"获得root的权限；

/etc/shadow就可以被一般用户所执行的passwd所修改。

但如果dmtsai使用cat去读取/etc/shadow时，能读取吗？因为cat不具有SUID的权限，所以执行'cat /etc/shadow'时，是不能读取/etc/shadow的。

另外，SUID仅可以用在binary program上，不能够用在shell script上面，因为shell script只是将很多的binary可执行文件叫进来执行，所以SUID的权限部分，还是得要看shell script调用进来的程序的设置，而不是shell script本身。当然，SUID对于目录也是无效的。

##Set GID

当s标志在文件拥有者的x项目为SUID，那s在群组的x时则称为Set GID，SGID，可以用下面的指令来观察到具有SGID权限的文件：

[root@study ~]# ls -l /usr/bin/locate

-rwx--s--x. root slocate 40496 Jun 10 2014 /usr/bin/locate

与SUID不同，SGID可以针对文件或目录来设置，如果对文件来说，SGID有如下的功能：

SGID对二进制程序有用；

程序执行者对于该程序来说，需具备x的权限，

执行者在执行的过程中将会获得该程序群组的支持。

举例来说，上面的/usr/bin/locate这个程序可以去搜寻/var/lib/mlocate/mlocate.db这个文件的内容，mlocate的权限如下：

[root@study ~]# ll /usr/bin/locate /var/lib/mlocate/mlocate.db

-rwx--s--x. 1 root slocate 40496 Jun 10 2014 /usr/bin/locate

-rw-r-----. 1 root slocate 2349055 Jun 15 03:44 /var/lib/mlocate/mlocate.db

与SUID非常的类似，若用一般账号去执行locate时，那将获得slocate群组的支持，因此就能够去读取mlocate.db。

除了binary program之外，SGID也能够用在目录上，这也是非常常见的一种用途！当一个目录设置来SGID的权限后，他将具有如下的功能：

使用者若对于此目录具有r与x的权限时，该使用者能够进入此目录；

使用者在此目录下的有效群组(effective group)将会变成该目录的群组；

用途：若使用者在此目录具有w的权限(可以新建文件)，则使用者创建的新文件，该新文件的群组与此目录的群组相同。

##Sticky Bit

SBIT目前只针对目录有效，对于文件已经没有效果了。SBIT对于目录的作用是：

当使用者们对于此目录具有w,x权限，亦即具有写入的权限时；

当使用者在该目录下创建文件或目录时，仅有自己与root才有权限删除该文件

换句话说：当甲这个使用者于A目录是具有群组或其他人的身份，并且拥有该目录w的权限，这表示“甲使用者对该目录内任何人创建的目录或文件均可以进行"删除/更名/搬移"”等动作(但是对于拥有者无效)，不过，如果将A目录加上了SBIT的权限项目时，则甲只能够针对自己创建的文件或目录进行删除/更名/移动等动作，而无法删除他人的文件。

##SUID/SGID/SBIT权限设置

4为SUID

2为SGID

1为SBIT

假设要将一个文件权限改为"-rwsr-xr-x'时，由于s在使用者权限中，所以SUID，因此，在原先的755之前还要加4，也就是"chmod 4755 filename"来设置，此外，还有大S与大T的产生，

注意下面的范例只是联系，必须了解SUID不是用在目录上，而SBIT不是用在文件上。

[root@study ~]# cd /tmp

[root@study tmp]# touch test <== 创建一个测试文件

[root@study tmp]# chmod 4755 test; ls -l test <== 加入具有SUID的权限

-rwsr-xr-x 1 root root 0 Jun 16 02:53 test

[root@study tmp]# chmod 6755 test;ls -l test <== 加入具有SUID/SGID的权限

-rwsr-sr-x 1 root root 0 Jun 16 02:53 test

[root@study tmp]# chmod 1755 test; ls -l test <== 加入SBIT的功能

-rwxr-xr-t 1 root root 0 Jun 16 02:53 test

[root@study tmp]# chmod 7666 test; ls -l test <== 加入SUID/SGID/SBIT的权限

-rwSrwSrwT 1 root root 0 Jun 16 02:53 test

为什么会出现大写的S与T？因为s与t都是取代x这个权限的，但是当user、group以及others都没有x这个可执行权限，所以这个S、T代表的就是'空的',SUID是表示"该文件在执行的时候，具有文件拥有者的权限"，但是文件拥有者都无法执行了，哪里来的权限给其他人使用。当前是空的。

除了数字之外，可以通过符号法来处理。其实SUID为u+s，而SGID为g+s，SBIT则是o+t。