文件的uid、gid 进程的euid 、egid 、附加组ID（如果支持） 总结

 1．在struct  file结构体中有：

unsigned int    f_uid, f_gid;//文件的所有者ID，所有者所在组ID

mode_t f_mode;

 

2.  stat()、fstat() 、lstat()三个函数将某文件（第一个参数指定）的状态填写到第二个参数所指的结构体struct stat中，在stat结构体中有：

uid_t st_uid;

gid_t st_gid;//这二者的作用同上

       mode_t st_mode;

 

3.    在进程控制块task_struct中有：

uid_t uid,euid,suid,fsuid;

gid_t gid,egid,sgid,fsgid;

表示含义：

域名

含义

uid、gid

实际用户标识符、有效组标识符：进程属于哪个用户和用户组

euid、egid、附加组ID

有效用户标识符、有效组标识符：决定对文件的访问权限

 

4.   通常，进程的euid等于进程的uid，egid等于gid；但是可以在文件模式字（f_mode）中设置特殊标志set-user-ID位（使用命令chmod u+s filename）和set-group-ID位（使用命令chmod g+s filename）使得当执行此文件时“设置进程的euid为文件的所有者ID(st_uid) 设置进程的egid为文件的用户组ID（st_gid）”，则可以对文件进行访问了（如对普通用户给予超级用户权限）。

 

如果一个文件被设置了SUID或SGID位，会分别表现在所有者或同组用户的权限的可执行位上。例如：

1、-rwsr-xr-x 表示SUID和所有者权限中可执行位被设置

2、-rwSr--r-- 表示SUID被设置，但所有者权限中可执行位没有被设置

3、-rwxr-sr-x 表示SGID和同组用户权限中可执行位被设置

4、-rw-r-Sr-- 表示SGID被设置，但同组用户权限中可执行位没有被设置

其实在UNIX的实现中，文件权限用12个二进制位表示，如果该位置上的值是

1，表示有相应的权限：

11 10 9 8 7 6 5 4 3 2 1 0

S G T r w x r w x r w x

第11位为SUID位，第10位为SGID位，第9位为sticky位，第8-0位对应于上面的三组rwx位。

11 10 9 8 7 6 5 4 3 2 1 0

上面的-rwsr-xr-x的值为： 1 0 0 1 1 1 1 0 1 1 0 1

-rw-r-Sr--的值为： 0 1 0 1 1 0 1 0 0 1 0 0

给文件加SUID和SUID的命令如下：

chmod u+s filename 设置SUID位

chmod u-s filename 去掉SUID设置

chmod g+s filename 设置SGID位

chmod g-s filename 去掉SGID设置

另外一种方法是chmod命令用八进制表示方法的设置。如果明白了前面的12位权限表示法也很简单。      

      

SUID的优先级比SGID高，当一个可执行程序设置了SUID，则SGID会自动变成相应的egid；

S与s的区别，当对文件本身拥有执行权限时设置suid（或者sgid）时，会变成小写s，表示同时具有执行权限和suid（或者sgid）；否则会变成大写S，表示不具备执行权限，没有执行权限的suid和sgid实际变得没有效果（因为程序不能执行，euid和egid不能改变为文件的所有者id）。

 

Sticky bit 粘住位

如果对一个目录设置了粘住位，则只有对该目录具有写权限的用户在满足下列条件之一的情况下，才能删除或更改该目录下的文件：

a.       拥有此文件

b.       拥有此目录

c.       是超级用户

如/tmp设置了粘住位：任何用户的可以在目录中创建文件，对目录的权限都是rwx，但是不能删除或更名属于其他人的文件。

 

5. 进程每次打开、创建或删除一个文件时，内核就进行文件访问权限测试，这种测试可能          涉及文件的所有者（st_uid和st_gid）、进程的有效ID（euid和egid）以及进程的附加   组ID（如果支持的话）。

测试过程：

（1）       若进程的euid是0（超级用户），则允许自由访问该文件；

（2）       若进程euid等于文件的st_uid，那么可以根据该文件给予拥有者的读、写、执行权限进行访问；

（3）       若进程的egid或附加组ID之一等于文件的st_gid，则根据文件给予同组用户的读、写、执行权限进行访问；

（4）       最后，只能根据文件给予其他用户的读、写、执行权限进行访问；

（5）       否则，拒绝该进程对文件的访问。

 

6.       新文件和目录的所有权（二者规则相同）

f_uid的设置为：新文件的f_uid设置为创建该文件的进程的euid；

f_gid的设置为：

新文件所在目录的set-group-ID位如果设置，则新文件的f_gid设置为所在目录文件的组ID（f_gid）；如果没有设置该位，则将新文件的f_gid设置为创建进程的有效组ID（egid）（差不多是4的逆操作）。

 

7.       access测试函数（只起测试作用）

测试进程的实际用户ID（uid）和实际用户组ID（gid）对文件是否具有读、写、执行权限还可以测试文件是否存在。

测试过程同5，只是将“有效”改成：“实际”