文件安全与权限

包含以下内容：
• 文件和目录的权限。
• setuid。
• chown和c h g r p。
• umask。
• 符号链接。

按照所针对的用户，文件的权限可分为三类：
1) 文件属主，创建该文件的用户。
2) 同组用户，拥有该文件的用户组中的任何用户。
3) 其他用户，即不属于拥有该文件的用户组的某一用户。

文件类型有七种，它可以从ls -l命令所列出的结果的第一位看出，这七种类型是：
d 目录。
l 符号链接(指向另一个文件)。
s 套接字文件。
b 块设备文件。
c 字符设备文件。
p 命名管道文件。
- 普通文件，或者更准确地说，不属于以上几种类型的文件。

在用户创建文件时，系统不会自动地设置执行权限位。这是出于加强系统安全的考虑。必须手工修改这一权限位。

改变权限位

符号模式
c h m o d命令的一般格式为：
chmod [who] operator [permission] filename
w h o的含义是：
u 文件属主权限。
g 同组用户权限。
o 其他用户权限。
a 所有用户(文件属主、同组用户及其他用户)。
o p e r a t o r的含义：
+ 增加权限。
- 取消权限。
= 设定权限。
p e r m i s s i o n的含义：
r 读权限。
w 写权限。
x 执行权限。
s 文件属主和组s e t - I D。
t 粘性位*。

绝对模式
c h m o d命令绝对模式的一般形式为：
chmod [mode] file 其中m o d e是一个3位八进制数。每一位分别表示对相应用户的权限。
每一位权限有读4、写2、执行1相加得到。对其他用户有所有权限，则相应位为7(4+2+1)。

可以通过使用- R选项连同子目录下的文件一起设置：
chmod -R 664 /usr/local/home/dave/*
这样就可以一次将/ u s r / l o c a l / h o m e / d a v e目录下的所有文件连同各个子目录下的文件的权限
全部设置为文件属主和同组用户可读和写，其他用户只读。使用- R选项一定要谨慎，只有在
需要改变目录树下全部文件权限时才可以使用。

目录的读权限位意味着可以列出其中的内容。写权限位意味着可以在该目录中创建文件，如果不希望其他用
户在你的目录中创建文件，可以取消相应的写权限位。执行权限位则意味着搜索和访问该目录。

SUID、GUID、粘滞位的应用。
suid设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户
执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码。

setgid: 该权限只对目录有效. 目录被设置该位后, 任何用户在此目录下创建的文件都具有和该目录所属的组相同的组。

该位可以理解为防删除位. 一个文件是否可以被某用户删除, 主要取决于该文件所属的组是否对该用户具有写权限. 如果
没有写权限, 则这个目录下的所有文件都不能被删除, 同时也不能添加新的文件. 如果希望用户能够添加文件但同时不能
删除文件, 则可以对文件使用sticky bit位. 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件.

其实关于sticky bit，/tmp目录是个很好的例子
drwxrwxrwt    ...................   /tmp        
在这个目录下，任何人都可以创建文件，也可以删除文件，不过只能删除属于自己的文件！

下面说一下如何操作这些标志:
操作这些标志与操作文件权限的命令是一样的, 都是 chmod. 有两种方法来操作,
1) chmod u+s  temp    -- 为temp文件加上setuid标志. (setuid 只对文件有效)
     chmod g+s tempdir -- 为tempdir目录加上setgid标志 (setgid 只对目录有效)
     chmod o+t temp -- 为temp文件加上sticky标志 (sticky只对文件有效)
2) 采用八进制方式. 对一般文件通过三组八进制数字来置标志, 如 666, 777, 644等. 如果设置这些特殊标志, 则在这组数
字之外外加一组八进制数字. 如 4666, 2777等. 这一组八进制数字三位的意义如下,
   abc
   a - setuid位, 如果该位为1, 则表示设置setuid
   b - setgid位, 如果该位为1, 则表示设置setgid
   c - sticky位, 如果该位为1, 则表示设置sticky

设置完这些标志后, 可以用 ls -l 来查看. 如果有这些标志, 则会在原来的执行标志位置上显示. 如  
rwsrw-r--    表示有setuid标志
rwxrwsrw-  表示有setgid标志
rwxrw-rwt   表示有sticky标志
那么原来的执行标志x到哪里去了呢? 系统是这样规定的, 如果本来在该位上有x, 则这些特殊标志显示为小写
字母 (s, s, t). 否则, 显示为大写字母 (S, S, T)

c h o w n命令的一般形式为：
chmod -R -h owner file
- R选项意味着对所有子目录下的文件也都进行同样的操作。- h选项意味着在改变符号链
接文件的属主时不影响该链接所指向的目标文件。

umask
当最初登录到系统中时， u m a s k命令确定了你创建文件的缺省模式。这一命令实际上和
c h m o d命令正好相反。你的系统管理员必须要为你设置一个合理的u m a s k值，以确保你创建的
文件具有所希望的缺省权限，防止其他非同组用户对你的文件具有写权限。在已经登录之后，可以按照
个人的偏好使用u m a s k命令来改变文件创建的缺省权限。相应的改变直到退出该s h e l l或使用另外
的u m a s k命令之前一直有效。

一般来说，u m a s k命令是在/ e t c / p r o f i l e文件中设置的，每个用户在登录时都会引用这个文
件，所以如果希望改变所有用户的u m a s k，可以在该文件中加入相应的条目。如果希望永久性
地设置自己的u m a s k值，那么就把它放在自己$ H O M E目录下的. p r o f i l e或. b a s h _ p r o f i l e文件中。

u m a s k是从权限中“拿走”相应的位即可。