linux sticky bit 目錄權限 rwt權限

• 今天看到有個目錄的權限是rwxrwxrwt 很驚訝這個t是什麼，怎麼不是x或者-呢？搜了下發現：

這個t代表是所謂的sticky bit。

• sticky bit: 該位可以了解為防删除位. 一個檔案是否可以被某使用者删除, 主要取決于該檔案所屬的組是否對該使用者具有寫權限. 如果沒有寫權限, 則這個目錄下的所有檔案都不能被删除, 同時也不能添加新的檔案. 如果希望使用者能夠添加檔案但同時不能删除檔案, 則可以對檔案使用sticky bit位. 設定該位後, 就算使用者對目錄具有寫權限, 也不能删除該檔案.

要删除一個檔案，你不一定要有這個檔案的寫權限，但你一定要有這個檔案的上級目錄的寫權限。也就是說，你即使沒有一個檔案的寫權限，但你有這個檔案的上級目錄的寫權限，你也可以把這個檔案給删除，而如果沒有一個目錄的寫權限，也就不能在這個目錄下建立檔案。

如何才能使一個目錄既可以讓任何使用者寫入檔案，又不讓使用者删除這個目錄下他人的檔案，sticky就是能起到這個作用。stciky一般隻用在目錄上，用在檔案上起不到什麼作用。

在一個目錄上設了sticky位後，（如/home，權限為1777)所有的使用者都可以在這個目錄下建立檔案，但隻能删除自己建立的檔案(root除外)，這就對所有使用者能寫的目錄下的使用者檔案啟到了保護的作用。

可以通過chmod o+t tmp 來設定tmp目錄的sticky bit，而且/tmp目錄預設是設定了這個位的

stick bit一般是用于目錄上的，用于檔案意義不大

那麼原來的執行标志x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊标志顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)

總結如下：如果某個目錄設定了sticky bit（是在other使用者的權限上設定的，設定後可執行位從x變成了t），那麼使用者在該目錄下可以建立檔案（當然前提是使用者具有寫權限和可執行權限，如果具有可執行權限，設定sticky bit後是t；如果沒有可執行權限的話，設定sticky bit後是T），而且可以删除自己建立的檔案，但是，不能删除其他使用者建立的檔案，這樣就起到了一種保護作用了。

可以參考如下文章：

衆所周知，Linux的檔案權限如: 777；666等，其實隻要在相應的檔案上加上UID的權限，就可以用到權重限人的身份去運作這個檔案。是以我們隻需要将bash複制出來到另一個地方，然後用root加上UID權限,隻要使用者運作此Shell就可以用用root的身份來執行任何檔案了

一個檔案都有一個所有者, 表示該檔案是誰建立的. 同時, 該檔案還有一個組編号, 表示該檔案所屬的組, 一般為檔案所有者所屬的組.

如果是一個可執行檔案, 那麼在執行時, 一般該檔案隻擁有調用該檔案的使用者具有的權限. 而setuid, setgid 可以來改變這種設定.

setuid: 設定使檔案在執行階段具有檔案所有者的權限. 典型的檔案是 /usr/bin/passwd. 如果一般使用者執行該檔案, 則在執行過程中, 該檔案可以獲得root權限, 進而可以更改使用者的密碼.

setgid: 該權限隻對目錄有效. 目錄被設定該位後, 任何使用者在此目錄下建立的檔案都具有和該目錄所屬的組相同的組.

sticky bit: 該位可以了解為防删除位. 一個檔案是否可以被某使用者删除, 主要取決于該檔案所屬的組是否對該使用者具有寫權限. 如果沒有寫權限, 則這個目錄下的所有檔案都不能被删除, 同時也不能添加新的檔案. 如果希望使用者能夠添加檔案但同時不能删除檔案, 則可以對檔案使用sticky bit位. 設定該位後, 就算使用者對目錄具有寫權限, 也不能删除該檔案.

下面說一下如何操作這些标志:

操作這些标志與操作檔案權限的指令是一樣的, 都是 chmod. 有兩種方法來操作,

1) chmod u+s temp -- 為temp檔案加上setuid标志. (setuid 隻對檔案有效)

chmod g+s tempdir -- 為tempdir目錄加上setgid标志 (setgid 隻對目錄有效)

chmod o+t temp -- 為temp目錄加上sticky标志 (sticky一般隻用于目錄)

2) 采用八進制方式. 對一般檔案通過三組八進制數字來置标志, 如 666, 777, 644等. 如果設定這些特殊标志, 則在這組數字之外外加一組八進制數字. 如 4666, 2777等. 這一組八進制數字三位的意義如下,

abc

a - setuid位, 如果該位為1, 則表示設定setuid

b - setgid位, 如果該位為1, 則表示設定setgid

c - sticky位, 如果該位為1, 則表示設定sticky

設定完這些标志後, 可以用 ls -l 來檢視. 如果有這些标志, 則會在原來的執行标志位置上顯示. 如

rwsrw-r-- 表示有setuid标志

rwxrwsrw- 表示有setgid标志

rwxrw-rwt 表示有sticky标志

那麼原來的執行标志x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊标志顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)

• linux目錄讀權限、執行權限和寫權限

今天看APUE時說目錄的讀權限和執行權限是不同的，以前沒怎麼注意過，今天研究了下。

• 當使用者對某個目錄隻有讀權限時，那麼該使用者可以列出該目錄下的檔案清單（即可以使用ll來列出目錄下的檔案），但是不能進入該目錄（即不能cd 目錄名 來進入該目錄），即如果該目錄是使用者通路路徑的某個組成部分的話，到這裡是通路不了的。
• 當使用者對某個目錄隻有執行權限時，該使用者是可以進入該目錄的（即可以通過cd 目錄名 來進入該目錄），因為一個使用者要想進入一個目錄，就必須具有可執行權限才可以。但該使用者是不能列出這個目錄下的檔案清單的（即不能使用ll等指令列出該目錄下的資訊）
• 當使用者具有寫權限時，使用者可以在目前目錄增加或者删除檔案，但需要幾個前提：1、需要有可執行權限2、要想删除檔案，那麼sticky bit位是沒有設定的

總結下下面的幾種情況：

rwx===可以進入該目錄(x)、可以列出該目錄中的檔案(r)、可以在該目錄中增加或者删除檔案(w和x)

rwt===可以進入該目錄，可以列出該目錄中的檔案，可以在該目錄中增加檔案，但不能删除其他使用者的檔案，自己的檔案可以删除

rw-===可以列出該目錄中的檔案清單，但無法進入該目錄(因為不具有可執行權限)同時也無法在目錄中增加或者删除檔案，因為如果要想在一個目錄中增加或者删除檔案必須要求具有寫權限和可執行權限才可以。估計這樣的權限清單不太常見

r-x===這種權限清單很常見。可以進入該目錄，可以列出該目錄中檔案清單，但不可以在該目錄中增加或者删除檔案

-wx==這種估計也不常見。可以進入該目錄，可以在該目錄中增加或者删除檔案，但不可以列出該目錄中的檔案清單

其他的情況例如r--、-w-、--r、---等就很容易分析了。