文件的權(quán)限有rwx這3個(gè)讀、寫、執(zhí)行的權(quán)限。但是，怎么 /tmp權(quán)限有些奇怪？還有， /usr/bin/passwd也有些奇怪，怎么回事呢？

不是只有rwx嗎？為什么還有其他的特殊權(quán)限呢？不要擔(dān)心，我們這里先不談這兩個(gè)權(quán)限，只是先介紹一下而已。因?yàn)楸仨氁匈~號(hào)的ID概念，以及程序的進(jìn)程（process）概念后，才能夠進(jìn)一步了解這些特殊權(quán)限所表示的意義。

　Set UID

會(huì)創(chuàng)建s與t權(quán)限，是為了讓一般用戶在執(zhí)行某些程序的時(shí)候，能夠暫時(shí)具有該程序擁有者的權(quán)限。舉例來(lái)說(shuō)，我們知道，賬號(hào)與密碼的存放文件其實(shí)是 /etc/passwd與 /etc/shadow.而 /etc/shadow文件的權(quán)限是“-r- - - - - - - - ”。它的擁有者是root.在這個(gè)權(quán)限中，僅有root可以“強(qiáng)制” 存儲(chǔ) ，其他人是連看都不行的。

但是，偏偏筆者使用dmtsai這個(gè)一般身份用戶去更新自己的密碼時(shí)，使用的就是 /usr/bin/passwd程序，卻可以更新自己的密碼。也就是說(shuō)，dmtsai這個(gè)一般身份用戶可以存取 /etc/shadow密碼文件。這怎么可能？明明 /etc/shadow就是沒(méi)有dmtsai可存取的權(quán)限。這就是因?yàn)橛衧權(quán)限的幫助。當(dāng)s權(quán)限在user的x時(shí)，也就是類似 -r - s - - x - - x，稱為Set UID，簡(jiǎn)稱為SUID，這個(gè)UID表示User的ID，而User表示這個(gè)程序（/usr/bin/passwd）的擁有者（root）。那么，我們就 可以知道，當(dāng)dmtsai用戶執(zhí)行 /usr/bin/passwd時(shí)，它就會(huì)“暫時(shí)”得到文件擁有者root的權(quán)限。

SUID僅 可用在“二進(jìn)制文件（binary file）”，SUID因?yàn)槭浅绦蛟趫?zhí)行過(guò)程中擁有文件擁有者的權(quán)限，因此，它僅可用于二進(jìn)制文件，不能用在批處理文件（shell腳本）上。這是因?yàn)?shell腳本只是將很多二進(jìn)制執(zhí)行文件調(diào)進(jìn)來(lái)執(zhí)行而已。所以SUID的權(quán)限部分，還是要看shell腳本調(diào)用進(jìn)來(lái)的程序設(shè)置，而不是shell腳本本 身。當(dāng)然，SUID對(duì)目錄是無(wú)效的。這點(diǎn)要特別注意。

　Set GID

進(jìn)一步而言，如果s的權(quán)限是在用戶組，那么就是Set GID，簡(jiǎn)稱為SGID.SGID可以用在兩個(gè)方面。

文件：如果SGID設(shè)置在二進(jìn)制文件上，則不論用戶是誰(shuí)，在執(zhí)行該程序的時(shí)候，它的有效用戶組（effective group）將會(huì)變成該程序的用戶組所有者（group id）。

目錄：如果SGID是設(shè)置在A目錄上，則在該A目錄內(nèi)所建立的文件或目錄的用戶組，將會(huì)是此A目錄的用戶組。

一般來(lái)說(shuō)，SGID多用在特定的多人團(tuán)隊(duì)的項(xiàng)目開(kāi)發(fā)上，在系統(tǒng)中用得較少。

　Sticky Bit

這個(gè)Sticky Bit當(dāng)前只針對(duì)目錄有效，對(duì)文件沒(méi)有效果。SBit對(duì)目錄的作用是：“在具有SBit的目錄下，用戶若在該目錄下具有w及x權(quán)限，則當(dāng)用戶在該目錄下建 立文件或目錄時(shí)，只有文件擁有者與root才有權(quán)力刪除”。換句話說(shuō)：當(dāng)甲用戶在A目錄下?lián)碛術(shù)roup或other的項(xiàng)目，且擁有w權(quán)限，這表示甲用戶 對(duì)該目錄內(nèi)任何人建立的目錄或文件均可進(jìn)行“刪除/重命名/移動(dòng)”等操作。不過(guò)，如果將A目錄加上了Sticky bit的權(quán)限，則甲只能夠針對(duì)自己建立的文件或目錄進(jìn)行刪除/重命名/移動(dòng)等操作。

舉例來(lái)說(shuō)，/tmp本身的權(quán)限是“drwxrwxrwt”，在這樣的權(quán)限內(nèi)容下，任何人都可以在 /tmp內(nèi)新增、修改文件，但僅有該文件/目錄的建立者與root能夠刪除自己的目錄或文件。這個(gè)特性也很重要。可以這樣做個(gè)簡(jiǎn)單 測(cè)試 ：

1. 以root登入系統(tǒng)，并且進(jìn)入 /tmp中。

2. touch test，并且更改test權(quán)限成為777.

3. 以一般用戶登入，并進(jìn)入 /tmp.

4. 嘗試刪除test文件。

更多關(guān)于SUID/SGID/Sticky Bit的介紹，我們會(huì)在第11章中再次提及，當(dāng)前，先有簡(jiǎn)單的概念即可。

SUID/SGID/SBIT權(quán)限設(shè)置

前面介紹過(guò)SUID與SGID的功能，那么，如何打開(kāi)文件使其成為具有SUID與SGID的權(quán)限呢？這就需要使用數(shù)字更改權(quán)限了。現(xiàn)在應(yīng)該知道，使用數(shù) 字更改權(quán)限的方式為“3個(gè)數(shù)字”的組合，那么，如果在這3個(gè)數(shù)字之前再加上一個(gè)數(shù)字，最前面的數(shù)字就表示這幾個(gè)屬性了（注：通常我們使用chmod xyz filename的方式來(lái)設(shè)置filename的屬性時(shí)，則是假設(shè)沒(méi)有SUID、SGID及Sticky bit）。

4為SUID

2為SGID

1為Sticky bit

假設(shè)要將一個(gè)文件屬性改為“-rwsr-xr-x”，由于s在用戶權(quán)限中，所以是SUID，因此，在原先的755之前還要加上4，也就是使用 “chmod 4755 filename”來(lái)設(shè)置。此外，還有大S與大T的產(chǎn)生。參考下面的范例（注意：下面的范例只是練習(xí)而已，所以筆者使用同一個(gè)文件來(lái)設(shè)置，必須知 道，SUID不是用在目錄上，SBIT不是用在文件上）。

?

# 這個(gè)例子要特別小心。怎么會(huì)出現(xiàn)大寫的S與T呢？不都是小寫的嗎？

# 因?yàn)閟與t都是取代x參數(shù)的，但是，我們是使用

# 7666.也就是說(shuō)，user、group以及others都沒(méi)有x這個(gè)可執(zhí)行的標(biāo)志

# （因?yàn)?66）。所以，S、T表示“空的”。

# SUID是表示“該文件在執(zhí)行時(shí)，具有文件擁有者的權(quán)限”，但文件

# 擁有者都無(wú)法執(zhí)行了，哪里來(lái)的權(quán)限給其他人使用呢？當(dāng)然就是空的

文件隱藏屬性

文件有隱藏屬性，隱藏屬性對(duì)系統(tǒng)有很大的幫助。尤其是在系統(tǒng) 安全 （Security）方面，非常重要。下面我們就來(lái)談一談如何設(shè)置與檢查這些隱藏的屬性。

chattr（設(shè)置文件隱藏屬性）

[root@linux ~]# chattr [+-=][ASacdistu] 文件或目錄名

參數(shù)：

+ ： 增加某個(gè)特殊參數(shù)，其他原本存在的參數(shù)不動(dòng)。

- ： 刪除某個(gè)特殊參數(shù)，其他原本存在的參數(shù)不動(dòng)。

= ： 設(shè)置一定，且僅有后面接的參數(shù)

A ： 當(dāng)設(shè)置了A屬性時(shí)，這個(gè)文件（或目錄）的存取時(shí)間atime（access）將不可被修改，可避免例如手提電腦有磁盤I/O錯(cuò)誤的情況發(fā)生。

S ： 這個(gè)功能有點(diǎn)類似sync.就是將數(shù)據(jù)同步寫入磁盤中。可以有效地避免數(shù)據(jù)流失。

a ： 設(shè)置a之后，這個(gè)文件將只能增加數(shù)據(jù)，而不能刪除，只有root才能設(shè)置這個(gè)屬性。

c ： 這個(gè)屬性設(shè)置之后，將會(huì)自動(dòng)將此文件“壓縮”，在讀取的時(shí)候?qū)?huì)自動(dòng)解壓縮，但在 存儲(chǔ) 的時(shí)候，將會(huì)先進(jìn)行壓縮后再存儲(chǔ)（對(duì)于大文件有用）。

d ： 當(dāng)執(zhí)行dump（備份）程序的時(shí)候，設(shè)置d屬性將可使該文件（或目錄）具有轉(zhuǎn)儲(chǔ)功效。

i ： i的作用很大。它可以讓一個(gè)文件“不能被刪除、改名、設(shè)置連接，也無(wú)法寫入或新增數(shù)據(jù)”。對(duì)于系統(tǒng) 安全 性有相當(dāng)大的幫助。

j ： 當(dāng)使用ext3文件系統(tǒng)格式時(shí)，設(shè)置j屬性將會(huì)使文件在寫入時(shí)先記錄在journal中。但是，當(dāng)文件系統(tǒng)設(shè)置參數(shù)為data=journalled時(shí)，由于已經(jīng)設(shè)置日志了，所以這個(gè)屬性無(wú)效。

s ： 當(dāng)文件設(shè)置了s參數(shù)時(shí)，它將會(huì)從這個(gè)硬盤空間完全刪除。

u ： 與s相反，當(dāng)使用u來(lái)設(shè)置文件時(shí)，則數(shù)據(jù)內(nèi)容其實(shí)還存在磁盤中，可以用來(lái)還原刪除。

注意：這個(gè)屬性設(shè)置上，比較常見(jiàn)的是a與i的設(shè)置值，而且很多設(shè)置值必須要root才能設(shè)置。

范例：

# 看到了嗎？連root也沒(méi)有辦法刪除這個(gè)文件。趕緊解除設(shè)置。

[root@linux tmp]# chattr -i attrtest

這個(gè)命令很重要，尤其是在系統(tǒng)的安全性方面。由于這些屬性是隱藏的，所以需要用lsattr才能看到。筆者認(rèn)為，最重要的是 +i屬性，因?yàn)樗梢宰屢粋€(gè)文件無(wú)法被更改，對(duì)于需要很高系統(tǒng)安全性的人來(lái)說(shuō)，相當(dāng)重要。還有相當(dāng)多的屬性是需要root才能設(shè)置的。此外，如果是登錄文 件，就更需要 +a參數(shù)，使之可以增加但不能修改與刪除原有的數(shù)據(jù)。將來(lái)提到登錄文件時(shí)，我們?cè)賮?lái)介紹如何設(shè)置它。

lsattr（顯示文件的隱藏屬性）

[root@linux ~]# lsattr [-aR] 文件或目錄

參數(shù)：

-a ： 將隱藏文件的屬性也顯示出來(lái)。

-R ： 連同子目錄的數(shù)據(jù)也一并列出來(lái)。

范例：

[root@linux tmp]# chattr +aij attrtest

[root@linux tmp]# lsattr

----ia---j--- ./attrtest

使用chattr設(shè)置后，可以利用lsattr來(lái)查看隱藏屬性。不過(guò)，這兩個(gè)命令在使用上必須要特別小心，否則會(huì)造成很大的困擾。例如，某天你心情好， 突然將 /etc/shadow這個(gè)重要的密碼記錄文件設(shè)置為具有i屬性，那么，過(guò)了若干天之后，突然要新增用戶，卻一直無(wú)法新增。怎么辦？將i的屬性去掉即可

轉(zhuǎn)自： http://hi.baidu.com/hevensun/item/b01a3c0cbfdc5e11acdc7068

linux文件特殊屬性介紹（s，s，t）