chmod,+s权限

http://blog.csdn.net/robertaqi/article/details/7341565

来源 http://hi.baidu.com/liberum/blog/item/04cadd3a8d24cdf7828b1351.html

在解决nginx不用root用户启动的时候，发现有一个很有意思的方式，那就是用limit，并且开启s标记位，

s标记位的设计，真是管用

 

一、UNIX下关于文件权限的表示方法和解析

UNIX下关于文件权限的表示方法和解析 

　　SUID 是 Set User ID, SGID 是 Set Group ID的意思。 

　　UNIX下可以用ls -l 命令来看到文件的权限。用ls命令所得到的表示法的格式是类似这样的：-rwxr-xr-x 。下面解析一下格式所表示的意思。这种表示方法一共有十位： 

　　9 8 7 6 5 4 3 2 1 0 

　　- r w x r - x r - x 

　　第9位表示文件类型,可以为p、d、l、s、c、b和-： 

　　p表示命名管道文件 

　　d表示目录文件 

　　l表示符号连接文件 

　　-表示普通文件 

　　s表示socket文件 

　　c表示字符设备文件 

　　b表示块设备文件 

　　第8-6位、5-3位、2-0位分别表示文件所有者的权限，同组用户的权限，其他用户的权限，其形式为rwx： 

　　r表示可读，可以读出文件的内容 

　　w表示可写，可以修改文件的内容 

　　x表示可执行，可运行这个程序 

　　没有权限的位置用-表示

　　其实在UNIX的实现中，文件权限用12个二进制位表示，如果该位置上的值是 

　　1，表示有相应的权限： 

　　11 10 9 8 7 6 5 4 3 2 1 0 

　　S G T r w x r w x r w x 

　　第11位为SUID位，第10位为SGID位，第9位为sticky位，第8-0位对应于上面的三组rwx位。 

　　11 10 9 8 7 6 5 4 3 2 1 0 

　　上面的-rwsr-xr-x的值为： 1 0 0 1 1 1 1 0 1 1 0 1 

　　-rw-r-Sr--的值为： 0 1 0 1 1 0 1 0 0 1 0 0 

　　给文件加SUID和SUID的命令如下： 

　　chmod u+s filename 设置SUID位 

　　chmod u-s filename 去掉SUID设置 

　　chmod g+s filename 设置SGID位 

　　chmod g-s filename 去掉SGID设置 

　　另外一种方法是chmod命令用八进制表示方法的设置。如果明白了前面的12位权限表示法也很简单。

二、SUID和SGID的详细解析

Set UID

 

会创建s与t权限，是为了让一般用户在执行某些程序的时候，能够暂时具有该程序拥有者的权限。举例来说，我们知道，账号与密码的存放文件其实是 /etc/passwd与 /etc/shadow。而 /etc/shadow文件的权限是“-r--------”。它的拥有者是root。在这个权限中，仅有root可以“强制”存储，其他人是连看都不行的。

 

但是，偏偏笔者使用dmtsai这个一般身份用户去更新自己的密码时，使用的就是 /usr/bin/passwd程序，却可以更新自己的密码。也就是说，dmtsai这个一般身份用户可以存取 /etc/shadow密码文件。这怎么可能？明明 /etc/shadow就是没有dmtsai可存取的权限。这就是因为有s权限的帮助。当s权限在user的x时，也就是类似 -r-s--x--x，称为Set UID，简称为SUID，这个UID表示User的ID，而User表示这个程序（/usr/bin/passwd）的拥有者（root）。那么，我们就可以知道，当dmtsai用户执行 /usr/bin/passwd时，它就会“暂时”得到文件拥有者root的权限。

 

SUID仅可用在“二进制文件（binary file）”，SUID因为是程序在执行过程中拥有文件拥有者的权限，因此，它仅可用于二进制文件，不能用在批处理文件（shell脚本）上。这是因为shell脚本只是将很多二进制执行文件调进来执行而已。所以SUID的权限部分，还是要看shell脚本调用进来的程序设置，而不是shell脚本本身。当然，SUID对目录是无效的。这点要特别注意。

 

Set GID

 

进一步而言，如果s的权限是在用户组，那么就是Set GID，简称为SGID。SGID可以用在两个方面。

 

文件：如果SGID设置在二进制文件上，则不论用户是谁，在执行该程序的时候，它的有效用户组（effective group）将会变成该程序的用户组所有者（group id）。

 

目录：如果SGID是设置在A目录上，则在该A目录内所建立的文件或目录的用户组，将会是此A目录的用户组。

 

一般来说，SGID多用在特定的多人团队的项目开发上，在系统中用得较少。

 

Sticky Bit

 

这个Sticky Bit当前只针对目录有效，对文件没有效果。SBit对目录的作用是：“在具有SBit的目录下，用户若在该目录下具有w及x权限，则当用户在该目录下建立文件或目录时，只有文件拥有者与root才有权力删除”。换句话说：当甲用户在A目录下拥有group或other的项目，且拥有w权限，这表示甲用户对该目录内任何人建立的目录或文件均可进行“删除/重命名/移动”等操作。不过，如果将A目录加上了Sticky bit的权限，则甲只能够针对自己建立的文件或目录进行删除/重命名/移动等操作。

 

举例来说，/tmp本身的权限是“drwxrwxrwt”，在这样的权限内容下，任何人都可以在 /tmp内新增、修改文件，但仅有该文件/目录的建立者与root能够删除自己的目录或文件。这个特性也很重要。可以这样做个简单测试：

 

1. 以root登入系统，并且进入 /tmp中。

2. touch test，并且更改test权限成为777。

3. 以一般用户登入，并进入 /tmp。

4. 尝试删除test文件。

 

更多关于SUID/SGID/Sticky Bit的介绍，我们会在第11章中再次提及，当前，先有简单的概念即可。

SUID/SGID/SBIT权限设置

 

前面介绍过SUID与SGID的功能，那么，如何打开文件使其成为具有SUID与SGID的权限呢？这就需要使用数字更改权限了。现在应该知道，使用数字更改权限的方式为“3个数字”的组合，那么，如果在这3个数字之前再加上一个数字，最前面的数字就表示这几个属性了（注：通常我们使用chmod xyz filename的方式来设置filename的属性时，则是假设没有SUID、SGID及Sticky bit）。

 

4为SUID

 

2为SGID

 

1为Sticky bit

 

假设要将一个文件属性改为“-rwsr-xr-x”，由于s在用户权限中，所以是SUID，因此，在原先的755之前还要加上4，也就是使用“chmod 4755 filename”来设置。此外，还有大S与大T的产生。参考下面的范例（注意：下面的范例只是练习而已，所以笔者使用同一个文件来设置，必须知道，SUID不是用在目录上，SBIT不是用在文件上）。

 

 

[root@linux ~]# cd /tmp
[root@linux tmp]# touch test
[root@linux tmp]# chmod 4755 test; ls -l test
-rwsr-xr-x 1 root root 0 Jul 20 11:27 test
[root@linux tmp]# chmod 6755 test; ls -l test
-rwsr-sr-x 1 root root 0 Jul 20 11:27 test
[root@linux tmp]# chmod 1755 test; ls -l test
-rwxr-xr-t 1 root root 0 Jul 20 11:27 test
[root@linux tmp]# chmod 7666 test; ls -l test
-rwSrwSrwT 1 root root 0 Jul 20 11:27 test

 

# 这个例子要特别小心。怎么会出现大写的S与T呢？不都是小写的吗？

# 因为s与t都是取代x参数的，但是，我们是使用

# 7666。也就是说，user、group以及others都没有x这个可执行的标志

# （因为666）。所以，S、T表示“空的”。

# SUID是表示“该文件在执行时，具有文件拥有者的权限”，但文件

# 拥有者都无法执行了，哪里来的权限给其他人使用呢？当然就是空的

三、文件隐藏属性

 

文件有隐藏属性，隐藏属性对系统有很大的帮助。尤其是在系统安全（Security）方面，非常重要。下面我们就来谈一谈如何设置与检查这些隐藏的属性。

 

chattr（设置文件隐藏属性）

 

[root@linux ~]# chattr [+-=][ASacdistu] 文件或目录名

 

参数：

+ : 增加某个特殊参数，其他原本存在的参数不动。

- : 删除某个特殊参数，其他原本存在的参数不动。

= : 设置一定，且仅有后面接的参数

A : 当设置了A属性时，这个文件（或目录）的存取时间atime（access）将不可被修改，可避免例如手提电脑有磁盘I/O错误的情况发生。

S : 这个功能有点类似sync。就是将数据同步写入磁盘中。可以有效地避免数据流失。

a : 设置a之后，这个文件将只能增加数据，而不能删除，只有root才能设置这个属性。

c : 这个属性设置之后，将会自动将此文件“压缩”，在读取的时候将会自动解压缩，但在存储的时候，将会先进行压缩后再存储（对于大文件有用）。

d : 当执行dump（备份）程序的时候，设置d属性将可使该文件（或目录）具有转储功效。

i : i的作用很大。它可以让一个文件“不能被删除、改名、设置连接，也无法写入或新增数据”。对于系统安全性有相当大的帮助。

j : 当使用ext3文件系统格式时，设置j属性将会使文件在写入时先记录在journal中。但是，当文件系统设置参数为data=journalled时，由于已经设置日志了，所以这个属性无效。

s : 当文件设置了s参数时，它将会从这个硬盘空间完全删除。

u : 与s相反，当使用u来设置文件时，则数据内容其实还存在磁盘中，可以用来还原删除.

 

注意：这个属性设置上，比较常见的是a与i的设置值，而且很多设置值必须要root才能设置。

 

范例：

 

 

[root@linux ~]# cd /tmp
[root@linux tmp]# touch attrtest
[root@linux tmp]# chattr +i attrtest
[root@linux tmp]# rm attrtest
rm: remove write-protected regular empty file `attrtest'? y
rm: cannot remove `attrtest': Operation not permitted

 

# 看到了吗？连root也没有办法删除这个文件。赶紧解除设置。

[root@linux tmp]# chattr -i attrtest

 

这个命令很重要，尤其是在系统的安全性方面。由于这些属性是隐藏的，所以需要用lsattr才能看到。笔者认为，最重要的是 +i属性，因为它可以让一个文件无法被更改，对于需要很高系统安全性的人来说，相当重要。还有相当多的属性是需要root才能设置的。此外，如果是登录文件，就更需要 +a参数，使之可以增加但不能修改与删除原有的数据。将来提到登录文件时，我们再来介绍如何设置它。

 

lsattr（显示文件的隐藏属性）

 

[root@linux ~]# lsattr [-aR] 文件或目录

 

参数：

-a : 将隐藏文件的属性也显示出来。

-R : 连同子目录的数据也一并列出来。

 

范例：

 

[root@linux tmp]# chattr +aij attrtest

[root@linux tmp]# lsattr

----ia---j--- ./attrtest

 

使用chattr设置后，可以利用lsattr来查看隐藏属性。不过，这两个命令在使用上必须要特别小心，否则会造成很大的困扰。例如，某天你心情好，突然将 /etc/shadow这个重要的密码记录文件设置为具有i属性，那么，过了若干天之后，突然要新增用户，却一直无法新增。怎么办？将i的属性去掉即可。

 

 

 

http://www.opsers.org/base/learning-linux-the-day-that-the-special-privileges-suid-sgid-sbit.html

我们前面学习了Linux上最基本的权限rwx。如果细心的朋友，一定会发现，根目录下面的tmp这个目录的权限有点不同，他后面多了一个t,那么这个t是什么意思呢？这就是我们今天要讲的内容：特殊权限（SUID/SGID/SBIT）。
先来看看两个特殊的文件与目录
[root@yufei ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 26968 Jan 29  2010 /usr/bin/passwd
[root@yufei ~]# ls -l /usr/bin/wall
-r-xr-sr-x. 1 root tty 10932 Apr 27  2010 /usr/bin/wall
[root@yufei ~]# ls -ld /tmp/
drwxrwxrwt. 7 root root 4096 Jan 20 11:00 /tmp/
这一个passwd命令在所有者的地方多了一个s，第二个wall命令在用户组的位置多了一个s，第三个tmp目录，多了一个t。这是为什么呢？下面我们就来具体看看，这些特殊的权限是什么意思？如何设置？

 

特殊权限的介绍

Set UID

当s这个标志出现在文件所有者的x权限上时，如/usr/bin/passwd这个文件的权限状态：“-rwsr-xr-x.”，此时就被称为Set UID，简称为SUID。那么这个特殊权限的特殊性的作用是什么呢？
1、SUID权限仅对二进制程序(binary program)有效；
2、执行者对于该程序需要具有x的可执行权限；
3、本权限仅在执行该程序的过程中有效(run-time)；
4、执行者将具有该程序拥有者(owner)的权限。
SUID的目的就是：让本来没有相应权限的用户运行这个程序时，可以访问他没有权限访问的资源。passwd就是一个很鲜明的例子，下面我们就来了解一下这相passwd执行的过程。
我们知道，系统中的用户密码是保存在/etc/shadow中的，而这个文件的权限是----------. （这个权限和以前版本的RHEL也有差别，以前的是-r--------）。其实有没有r权限不重要，因为我们的root用户是拥有最高的权限，什么都能干了。关键是要把密码写入到/etc/shadow中。我们知道，除了root用户能修改密码外，用户自己同样也能修改密码，为什么没有写入权限，还能修改密码，就是因为这个SUID功能。

下面就是passwd这个命令的执行过程
1、因为/usr/bin/passwd的权限对任何的用户都是可以执行的，所以系统中每个用户都可以执行此命令。
2、而/usr/bin/passwd这个文件的权限是属于root的。
3、当某个用户执行/usr/bin/passwd命令的时候，就拥有了root的权限了。
4、于是某个用户就可以借助root用户的权力，来修改了/etc/shadow文件了。
5、最后，把密码修改成功。

注：这个SUID只能运行在二进制的程序上（系统中的一些命令），不能用在脚本上（script），因为脚本还是把很多的程序集合到一起来执行，而不是脚本自身在执行。同样，这个SUID也不能放到目录上，放上也是无效的。

Set GID

我们前面讲过，当s这个标志出现在文件所有者的x权限上时，则就被称为Set UID。那么把这个s放到文件的所属用户组x位置上的话，就是SGID。如开头的/usr/bin/wall命令。
那么SGID的功能是什么呢？和SUID一样，只是SGID是获得该程序所属用户组的权限。
这相SGID有几点需要我们注意：
1、SGID对二进制程序有用；
2、程序执行者对于该程序来说，需具备x的权限；
3、SGID主要用在目录上；
理解了SUID，我想SGID也很容易理解。如果用户在此目录下具有w权限的话，若使用者在此目录下建立新文件，则新文件的群组与此目录的群组相同。

Sticky Bit

这个就是针对others来设置的了，和上面两个一样，只是功能不同而已。
SBIT（Sticky Bit）目前只针对目录有效，对于目录的作用是：当用户在该目录下建立文件或目录时，仅有自己与 root才有权力删除。
最具有代表的就是/tmp目录，任何人都可以在/tmp内增加、修改文件（因为权限全是rwx），但仅有该文件/目录建立者与 root能够删除自己的目录或文件。

注：这个SBIT对文件不起作用。

SUID/SGID/SBIT权限设置

和我们前面说的rwx差不多，也有两种方式，一种是以字符，一种是以数字。
4 为 SUID ＝ u+s
2 为 SGID ＝ g+s
1 为 SBIT ＝ o+t
下面我们就来看看如何设置，并看看达到的效果。

先看SUID的作用及设置

[root@yufei ~]# cd /tmp/
[root@yufei tmp]# cp /usr/bin/passwd ./
[root@yufei tmp]# mkdir testdir
上面两步是在/tmp目录下创建passwd文件和testdir目录
下面看看这两个的权限
[root@yufei tmp]# ls -l passwd ; ls -ld testdir/
-rwxr-xr-x. 1 root root 26968 Jan 20 23:27 passwd
drwxr-xr-x. 2 root root 4096 Jan 20 19:25 testdir/
我们切换到yufei用户，然后修改自己的密码
[root@yufei tmp]# su yufei
[yufei@yufei tmp]$ ./passwd
Changing password for user yufei.
Changing password for yufei.
(current) UNIX password:
New password:            
Retype new password:
passwd: Authentication token manipulation error
发现上面的yufei改不了自己的密码，为什么呢？就是因为没有权限把密码写入到/etc/shadow中。想让普通用户能修改/etc/shadow的话，那就需要用到SUID了。
[yufei@yufei tmp]$ su root
Password:
[root@yufei tmp]# chmod u+s passwd
[root@yufei tmp]# ls -l passwd
-rwsr-xr-x. 1 root root 26968 Jan 20 23:27 passwd
看到有SUID权限了，下面再来修改yufei自己的密码
[yufei@yufei tmp]$ ./passwd
Changing password for user yufei.
Changing password for yufei.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
我们发现已经成功了。
我想这一下，你对SUID的作用已经了解了吧。
如果想把这个改回来（就是把SUID的权限去掉），我们用数字方式来设置
[root@yufei tmp]# chmod 0755 passwd
[root@yufei tmp]# ls -l passwd
-rwxr-xr-x. 1 root root 26968 Jan 20 23:27 passwd
OK这样就改过来了，这个数字的原理和我们前面讲的rwx是一样的，只是在最前面设置相应的数字而已。

注：在普通用户修改自己的密码是，密码要设置的复杂点，否则的话，通过不了认证，普通用户和root用户的权限是不同的。

再看SGID的作用及设置

我们以前面建立的/tmp/testdir为例子
[root@yufei tmp]# ls -ld testdir/
[root@yufei tmp]# chmod 757 testdir/
[root@yufei tmp]# ls -ld testdir/
drwxr-xrwx. 2 root root 4096 Jan 20 19:25 testdir/
这时候，任何用户对此目录都有写入权限，那么我们就在这个目录里面创建文件与目录，并看看他们的权限如何
[root@yufei tmp]# su yufei
[yufei@yufei tmp]$ touch testdir/file1
[yufei@yufei tmp]$ mkdir testdir/dir1
[yufei@yufei tmp]$ ls -l testdir
total 0
drw-rw-r--. 1 yufei yufei 0 Jan 21 10:33 dir1
-rw-rw-r--. 1 yufei yufei 0 Jan 21 10:33 file1
这时候的文件与目录权限都是创建者的本身
下面我们就来看看，把这个目录加上SGID权限后，再创建文件与目录，会是什么样的效果
[yufei@yufei tmp]$ su root
Password:
[root@yufei tmp]# chmod g+s testdir/
[root@yufei tmp]# ls -ld testdir/
drwxr-srwx. 2 root root 4096 Jan 21 10:33 testdir/
[root@yufei tmp]# su yufei
[yufei@yufei tmp]$ touch testdir/file2
[yufei@yufei tmp]$ mkdir testdir/dir2
[yufei@yufei tmp]$ ls -l testdir/
total 0
drw-rw-r--. 1 yufei yufei 0 Jan 21 10:33 dir1
drw-rw-r--. 1 yufei root  0 Jan 21 10:36 dir2
-rw-rw-r--. 1 yufei yufei 0 Jan 21 10:33 file1
-rw-rw-r--. 1 yufei root  0 Jan 21 10:35 file2
[yufei@yufei tmp]$ ls -ld testdir/
drwxr-srwx. 2 root root 4096 Jan 21 10:36 testdir/
这时候我们就发现，file2和dir2的用户组变成了root了，也就是他们上层目录testdir这个目录的所属用户组。
这个应用，应用在一个项目的共同开发上，是很方便的。
[yufei@yufei tmp]$ su root
Password:
[root@yufei tmp]# chmod g-s testdir/
[yufei@yufei tmp]$ ls -ld testdir/
drwxr-xrwx. 2 root root 4096 Jan 21 10:36 testdir/
这样就还原了

最后我们来看SBIT的作用及设置

[root@yufei tmp]# rm -fr testdir/*
[root@yufei tmp]# ls -ld testdir/
drwxr-xrwx. 2 root root 4096 Jan 21 11:42 testdir/
清空/tmp/testdir/目录里面的全部内容。
我们切换成普通用户，然后再里面创建文件，至少需要两个普通用户来测试这个，如果没有的话，就自己建立。
[root@yufei tmp]# su yufei
[yufei@yufei tmp]$ touch testdir/yufei_file
[yufei@yufei tmp]$ ls -l testdir/
total 0
-rw-rw-r-- 1 yufei yufei 0 Jan 21 11:45 yufei_file
这时候我们建立了一个文件，我们换成另外一个用户
[yufei@yufei tmp]$ su opsers
Password:
[opsers@yufei tmp]$ ls -ld testdir/
drwxr-xrwx. 2 root root 4096 Jan 21 11:45 testdir/
我们看到，虽然其他用户对yufei_file只有只读权限，但由于yufei_file所在的目录，对其他人是全部的权限，所以，我们换其他用户还是可以删除这个文件的，看操作
[opsers@yufei tmp]$ rm -f testdir/yufei_file
[opsers@yufei tmp]$ ls testdir/
发现我们已经删除了这个不属于我们的权限。
下面我们就给这个目录加上SBIT权限，再来看看效果
[opsers@yufei tmp]$ su root
Password:
[root@yufei tmp]# chmod o+t testdir
[root@yufei tmp]# ls -ld testdir/
drwxr-xrwt. 2 root root 4096 Jan 21 11:49 testdir/
再一次切换普通用户，创建文件
[root@yufei tmp]# su yufei
[yufei@yufei tmp]$ touch testdir/yufei_file
[yufei@yufei tmp]$ ls -l testdir/yufei_file
-rw-rw-r-- 1 yufei yufei 0 Jan 21 11:51 testdir/yufei_file
这个文件的权限还是和第一次创建的时候是一样的，我们再换成其他的用户，看看能不能再次删除这个文件
[yufei@yufei tmp]$ su opsers
Password:
[opsers@yufei tmp]$ rm -f testdir/yufei_file
rm: cannot remove `testdir/yufei_file': Operation not permitted
看到提示，说权限不够了，只能由这个文件的创建者或root用户才能删除。这个我们就不演示了。
如果要还原权限的话，
[opsers@yufei tmp]$ su root
Password:
[root@yufei tmp]# chmod o-t testdir
[root@yufei tmp]# ls -ld testdir/
drwxr-xrwx. 2 root root 4096 Jan 21 11:51 testdir/

两个需要注意的问题

OK，关于SUID/SGID/SBIT这些特殊权限的应用和作用我们已经讲完了。但如果你仔细一点的话，会发现，我并没有用数字方式来更改这个特殊的权限，为什么呢？且看下面的分析。

问题1：用数字改变目录的特殊权限，不起作用。

我们把/tmp/下面，我们自己建立的实验文件删除
[root@yufei tmp]# rm -fr testdir/
[root@yufei tmp]# rm -fr passwd
然后再重新创建一个文件和目录，
[root@yufei tmp]# cp /usr/bin/passwd ./
[root@yufei tmp]# mkdir testdir
[root@yufei tmp]# ls -l passwd ;ls -ld testdir/
-rwxr-xr-x 1 root root 26968 Jan 21 12:00 passwd
drwxr-xr-x 2 root root 4096 Jan 21 12:00 testdir/
下面我们就来用数字方式来更改这三个特殊的权限，看看会有什么样的结果
[root@yufei tmp]# chmod 4755 passwd
[root@yufei tmp]# chmod 3755 testdir/
[root@yufei tmp]# ls -l passwd ;ls -ld testdir/
-rwsr-xr-x 1 root root 26968 Jan 21 12:00 passwd
drwxr-sr-x 2 root root 4096 Jan 21 12:00 testdir/
发现用这种方式增加这三个特殊权限没有问题，那么我们再把权限改回去看看
[root@yufei tmp]# chmod 0755 passwd
[root@yufei tmp]# chmod 0755 testdir/
[root@yufei tmp]# ls -l passwd ;ls -ld testdir/
-rwxr-xr-x 1 root root 26968 Jan 21 12:00 passwd
drwxr-sr-x 2 root root 4096 Jan 21 12:00 testdir/
我们发现，对文件，权限是改回去了，而对于目录，只改回去了SBIT的权限，对SUID和SGID改不回去。这是RHEL6上的实验结果，可能是出于安全性的考虑吗？这个我就不清楚了，也找不到相关的资料。如果各位网友，有知道什么原因的，欢迎与我联系。在此先谢过了。
所以说，建议大家还是用最明了的方式，直接用+-来更改，无论方法如何，最终能得到结果就OK了。哈哈……

问题2：为什么会有大写的S和T。

还是用上面的文件和目录
[root@yufei tmp]# ls -l passwd ;ls -ld testdir/
-rwxr-xr-x 1 root root 26968 Jan 21 12:00 passwd
drwxr-sr-x 2 root root 4096 Jan 21 12:00 testdir/
我们把passwd和testdir的x权限去掉
[root@yufei tmp]# chmod u-x passwd
[root@yufei tmp]# chmod o-x testdir/
[root@yufei tmp]# ls -l passwd ;ls -ld testdir/
-rw-r-xr-x 1 root root 26968 Jan 21 12:00 passwd
drwxr-sr-- 2 root root 4096 Jan 21 12:00 testdir/
再给他们加上SUID和SBIT权限
[root@yufei tmp]# chmod u+s passwd
[root@yufei tmp]# chmod o+t testdir/
[root@yufei tmp]# ls -l passwd ;ls -ld testdir/
-rwSr-xr-x 1 root root 26968 Jan 21 12:00 passwd
drwxr-sr-T 2 root root 4096 Jan 21 12:00 testdir/
我们看到，这时候的小s和小t已经变成了大S和大T了，为什么呢？因为他们这个位置没有了x权限，如果没有了x权限，根据我们上面讲的内容，其实，这个特殊的权限就相当于一个空的权限，没有意义。也就是说，如果你看到特殊权限位置上变成了大写的了，那么，就说明，这里有问题，需要排除。

 

 

 

http://wuhaoshu.blog.51cto.com/845270/390104

目录权限及粘贴位 (suid sgid t位 sticky) 
目录也是一种文档 
目录上的读写执行权限和普通文档有所不同： 
读：用户能够读取目录内的文档 
写：单独使用没有作用。和执行权限连用能够在目录内添加和删除文档。 
执行：用户能够进入目录，调用目录内的资料 
除了读写执行权限以外，ext2，ext3文档系统还支持强制位（setuid 和setgid)和冒险位(sticky)的特别权限。 
  针对u，g，o，分别有set uid，set gid，及sticky。 
  强制位和冒险位添加在执行权限的位置上。假如该位置上原已有执行权限。则强制位和冒险位以小写字母的方式表示，否则，以大写字母表示。 
  set uid和set gid在u和g的x位置上各采用一个s，sticky使用一个t。 

默认情况下，用户建立的文档属于用户当前所在的组。 
目录上配置了setgid，表示在此目录中，任何人建立的文档，都会属于目录所属的组。 

默认情况下，假如一个目录上有w和x权限，则任何人能够在此目录中建立和删除文档。 一旦目录上配置了冒险位，则表示在此目录中，只有文档的拥有者、目录的拥有者和系统管理员能够删除文档。 

  
在可执行文档上，用户能够添加set uid和set gid。 
默认情况下，用户执行一个指令，会以该用户的身份来运行进程。 
指令文档上的强制位，能够让用户执行的指令，以指令文档的拥有者或所属组的身份运行进程。 

用户能够用chmod指令来为文档配置强制位和冒险位。 
   set uid：chmod u+s 文档名 
      set gid：chmod g+s 文档名 
     sticky：chmod o+t 文档名 
强制位和冒险位也能够通过一个数字加和，放在读写执行的三位数字前来指定。 
      4(set uid) 
      2(set gid) 
     1(sticky) 

配置s u i d  /    g u i d 
命令                      结果                 含义 
chmod 4755            -rwsr-xr-x                 suid、文档属主具备读、写和执行的权限，任何其他用户具备读和执行的权限 
chmod 6711            -rws--s--x                 suid、sgid、文档属主具备读、写和执行的权限，任何其他用户具备执行的权限 
chmod 4511            -rwS--x?x               suid、文档属主具备读、写的权限，任何其他用户具备执行的权限 
上面的表中有具备这样权限的文档：rwS --x -- x，其中S为大写。他表示相应的执行权限位并未被配置，这是一种没有什么用处的suid配置能够忽略他的存在。 
注意，chmod命令不进行必要的完整性检查，能够给某一个没用的文档赋予任何权限，但 chmod 命令并不会对所配置的权限组合做什么检查。因此，不要看到一个文档具备执行权限，就认为他一定是个程式或脚本。 


关于linux下粘贴位(sticky位)：

要删除一个文档，您不一定要有这个文档的写权限，但您一定要有这个文档的上级目录的写权限。也就是说，您即使没有一个文档的写权限，但您有这个文档的上级目录的写权限，您 也能够把这个文档给删除，而假如没有一个目录的写权限，也就不能在这个目录下创建文档。 

怎样才能使一个目录既能够让任何用户写入文档，又不让用户删除这个目录下他人的文档，sticky就是能起到这个作用。stciky一般只用在目录上，用在文档上起不到什么作用。 

在一个目录上设了sticky位后，（如/home，权限为1777)任何的用户都能够在这个目录下创建文档，但只能删除自己创建的文档(root除外)，这就对任何用户能写的目录下的用户文档 启到了保护的作用。

 

本文出自 “追梦人” 博客，请务必保留此出处http://wuhaoshu.blog.51cto.com/845270/390104