浅谈LINUX文件系统的特殊权限设置与应用

摘 要：完善的权限管理机制是保证Linux系统可靠运行的重要手段，在linux系统中，文件的权限系统由基本权限、特殊权限组成访问控制列表组成。

关键词：权限管理；基本权限；特殊权限

1 前言

Linux是应用广泛的多用户多任务操作系统，为了保证系统可靠运行，linux系统内置了完善的文件权限管理体系，该体系包括文件的基本权限、特殊权限和访问控制列表三个部分。文件的基本权限是指文件拥有者、文件所属组和其它用户对文件或目录的r（读）、w（写）、x（执行）权限；文件的特殊权限是为保障系统可靠运行，满足用户特殊需要而赋予文件或目录的Suid、Sgid、Sticky权限，通常Suid、Sgid针对可执行文件或目录设置，Sticky只针对目录设置。

2 文件的特殊权限在Linux系统中的表示方式

特殊权限Suid、Sgid、Sticky在linux系统中有其特定的表现形式，针对具体的文件和目录，系统采取以下规则表示特殊权限。

Suid权限是借用拥有者（u）权限组合中的可执行权限位，用s或S表示（文件有可执行权（x），该位为s，文件无执行权（x），该位为S）；Sgid权限是借用文件所属组（g）权限组合中的可执行权限位，表示方式与Suid相同；Sticky是借用其它用户（O）权限组合中的可执行权限位，用t或T表示（文件有可执行权（x），该位为t，文件无执行权（x），该位为T）。与基本权限相似，除了用字符方式表示外，还可以使用八进制数表示，Suid、sgid、sticky分别对应八进制数4、2、1。这样，文件基本权限和特殊权限构成四位八进制数，第一位八进制数代表特殊权限对应的数字和，后三位八制数代表基本权限对应的数字和。

3 文件的特殊权限作用和设置方法

linux引入特殊权限是为了提高文件系统的安全性，方便用户间文件共享，通常，在可执行文件或目录上设置特殊权限，满足系统用户的特殊需求。

3.1 Suid权限

当文件拥有者（u）的可执行权限位（x）被s取代时，就构成Suid权限。设置了Suid权限的可执行文件，在被执行时，将不以执行者身份执行，而是以文件拥有者的身份执行。

3.2 Sgid权限

当文件所属组（g）的可执行权限位（x）被s所取代时，就构成Sgid权限，通常Sgid被设置在可执行文件和目录上。

可执行文件设置Sgid，在执行该文件时，不以执行者身份执行，而是以文件所属组的身份执行。

目录设置Sgid，在该目录下创建的文件或子目录所属的组，将自动被赋予目录所属的组。

3.3 Sticky权限

当其它用户（o）的执行权限位（x）被t取代时，就构成特殊权限Sticky。当目录设置了该权限，在该目录下的文件或子目录，只有文件或子目录的所有者和root可以执行删除操作，其它用户即使对该文件或子目录有写和执行权限，也不能执行删除操作。

综上所述，在目录上设置Sgid权限，可解决同组用户间文件共享的问题，但不能解决同组成员可任意删除目录中组内其它成员文件问题，为此，我们通过在目录上同时设置Sgid和Sticky权限，即可实现同组用户共享文件，又可保证只有文件所有者和root才可以删除文件，操作如下。

将共享文件放入/home/user2/share目录中，文件的所属组为user，为该目录设置Sticky、Sgid权限。切换到user2用户，建立文件，再切换到user1用户，使用rm命令删除user2用户建立的文件。

#chmod 3775 /home/user2/share

$su user2

$touch /home/user2/share/ file2.user2

$su user1

$rm -f /home/user2/share/ file2.user2

Rm：cannt remove `home/user2/share/ file2.user2`：operation ont permitted

结果显示：user1用户不能删除user2用户建立的文件，因为在share目录上设置了sticky权限，只有这个文件的所有者和root才可能删除目录中的文件，实现了同组用户可共享指定目录中的文件，而每一个用户又不能删除同组的其它用户的文件，实现了同一项目中不同项目成员之间的信息共享和信息安全的目标。

4 结束语

Linux系统中文件的特殊权限，是文件系统安全体系中的重要组成部分，在系统安全管理方面起到了重要作用，通过特殊权限设置和使用，可进一步优化系统的权限管理机制，保障系统安全可靠运行。

[参考文献]

[1]刘海涛.Linux中文件权限管理的探讨.微型计算机信息，2006，22卷，第三期.

[2]何明，何茜颖.Linux培训教程.清华大学出版社.2010.01，ISBN：978-7-302-23823-2.