LINUX--特殊权限SUID,SGID,Sticky

SUID:   运行某程序时，相应进程的属主是程序文件自身的属主，而不是启动者

SGID:   运行某程序时，相应进程的属组是程序文件自身的属组，而不说启动者的属组

Sticky:    在一个公共目录，每个人都可以创建文件，删除自己的文件，但不能删除别人 文件

什么意思？这些解释是不是云里雾绕的，还是用例子来解释吧，通俗易懂。

（一）

SUID:   比如，古代的时候，公主嫁给了平民，那么公主的很多权利就没有了，就不能像小时候那样随意的进宫玩耍了。怎么办？没关系，如果有了SUID之后，公主虽然嫁给了平民，但是她的权利不变，进宫或者行使其他的权利的时候，人们还是认她公主的身份，而不是她丈夫平民的身份。这就是SUID的作用。保持原来的身份不变。

          一个文件，权限默认是：

          -rwxr-xr-x   root root    /bin/cat

         （1） #   cat   /etc/gshadow     //用root用户查看/etc/gshadow可以查看！但是其他用户就没这么好的福气了。/etc/gshadow可不是那么好看的，只有管理员能查看。

          （2） $   cat  /etc/gshadow     //运行这个命令之后，肯定是拒绝，谁让你是普通用户呢。  

     但是，加上下面这条命令：

          （3） #  chmod u+s    /bin/cat               //意思是给cat这个命令加上SUID.

                    -rwsr-xr-x. 1 root root  /bin/cat   //rws，看见没有，变成小写s.如果原来就有执行权限，就是小写s,原来没有执行权限，会变成大写的S.

    然后：

          （4） $   cat   /etc/gshadow               //现在运行这个命令，就能查看了。因为虽然是普通用户进行查看的，但是因为cat这个命令加上了suid ，所以/etc/gshadow还是认为是root用户进行查看，所以就给看了。suid的作用是，不管是那个用户进行cat,cat在运行时都贴着它本来自己的标签--root属主和root属组。

(二）

SGID

比如，root 是皇帝，其他的3个普通用户是大臣是和珅，刘墉，纪晓岚。

     #   useradd   和珅             //和珅诞生了

     #    useradd 刘墉               //刘墉诞生了

     #    useradd  纪晓岚          //纪晓岚诞生了

     #   mkdir /tmp/朝廷                //朝廷是一个文件夹，请见谅。

     #   chmod g+w    /tmp/朝廷      //让/tmp/朝廷这个文件夹对组内成员有写的权限

    #    groupadd   一品大臣                     //建一个组，名字就叫一品大臣

   #   chown  -R   :一品大臣     /tmp/朝廷      //让/tmp/朝廷 这个文件夹的属组为一品大臣

   #  usermod -a -G  一品大臣   和珅         //把和珅加入一品大臣这个附加组，下面相同。

   #  usermod -a -G  一品大臣   刘墉

   #  usermod -a -G  一品大臣   纪晓岚

    现在，和珅写一个奏折，刘墉写一个奏折，纪晓岚写一个奏折，3个人写的奏折能互相浏览，更能互相更改，怎么实现，请看：

            a.   和珅写奏折

               $    cd /tmp/朝廷

               $    touch 和珅.txt

                -rw-rw-r--.   和珅   和珅        和珅.txt      //默认其他人有浏览的权限，属主和属组都是本人，因此默认他们只能浏览其他人的权限，不能更改其他人写的内容。

            b.   刘墉写奏折

                $    cd  /tmp/朝廷

                $    touch 刘墉.txt

                -rw-rw-r--.   刘墉    刘墉       刘墉.txt      //同上

            c.   纪晓岚写奏折

                $    cd /tmp/朝廷

                $    touch 纪晓岚.txt

                -rw-rw-r--.   纪晓岚   纪晓岚      纪晓岚.txt      //同上

  经过以上步骤，每个人都能在/tmp/朝廷里面创建文件夹，但是，不能修改其他人的文件夹，怎么办？
          答：

                #  chmod g+s   /tmp/朝廷                    //让朝廷这个文件夹有SGID的权限

然后，纪晓岚再创建一个文件夹：

       $    cd  /tmp/朝廷

        $  touch 纪晓岚02.txt  

     -rw-rw-r--.   纪晓岚   一品大臣       纪晓岚02.txt      //这个时候创建的文件夹默认属组是一品大臣。意味着只要是一品大臣这个组里面的人，比如和珅，不但可以修改纪晓岚的内容，而且还可以删除这个文件夹。纪晓岚要想不被别人删除他创建的东西，要做这一步：

           #    chmod o+t    /tmp/朝廷        //用root   执行这一步就行了。就不能随便删除别人的东西 了

            在上面的o+t  中，这个t指的就是sticky.

   -------------------------------------------------------------------------------------------------

附加小知识点：

     chmod 755   /tmp/1.txt     //意味着的权限是   rwx  r-x  r-x    ,分别是属主  读写执行，属组  读执行，  其他组的人  读执行。

    chmod 5755   /tmp/1.txt    //这个文件有SUID和Sticky!（数字中的第一个5，就是红色的5，表示有这个意思.）后面的755就是我们普通理解的--属主读写执行，属组读和执行，其他组的人读和执行。

  chmod 4755     /tmp/1.txt   //只有SUID,因此第一个数字是4.其他后面的755跟上面一样。

  chmod 2755    /tmp/1.txt     //只有SGID,因此第一个数字是2.其他后面的755跟上面一样。

  chmod 1755   /tmp/1.txt     //只有Sticky.

本文转自 曾国藩_6868 51CTO博客，原文链接:http://blog.51cto.com/8184069/1722516