[[272739]]

前一篇文章介紹了 Fedora 系統上有關文件權限的一些基礎知識。本部分介紹使用權限管理文件訪問和共享的其他方法。它建立在前一篇文章中的知識和示例的基礎上，所以如果你還沒有閱讀過那篇文章，請查看它。

符號與八進制

在上一篇文章中，你了解到文件有三個不同的權限集。擁有該文件的用戶有一個集合，擁有該文件的組的成員有一個集合，然后最終一個集合適用于其他所有人。在長列表（ls -l）中這些權限使用符號模式顯示在屏幕上。

每個集合都有 r、w 和 x 條目，表示特定用戶（所有者、組成員或其他）是否可以讀取、寫入或執行該文件。但是還有另一種表達這些權限的方法：八進制模式。

你已經習慣了十進制編號系統，它有十個不同的值（0 到 9）。另一方面，八進制系統有八個不同的值（0 到 7）。在表示權限時，八進制用作速記來顯示 r、w 和 x 字段的值。將每個字段視為具有如下值：

• r = 4
• w = 2
• x = 1

現在，你可以使用單個八進制值表達任何組合。例如，讀取和寫入權限（但沒有執行權限）的值為 6。讀取和執行權限的值僅為 5。文件的 rwxr-xr-x 符號權限的八進制值為 755。

與符號值類似，你可以使用八進制值使用 chmod 命令設置文件權限。以下兩個命令對文件設置相同的權限：

chmod u=rw,g=r,o=r myfile1
chmod 644 myfile1

特殊權限位

文件上還有幾個特殊權限位。這些被稱為 setuid（或 suid）、setgid（或 sgid），以及粘滯位sticky bit（或阻止刪除位delete inhibit）。 將此視為另一組八進制值：

• setuid = 4
• setgid = 2
• sticky = 1

除非該文件是可執行的，否則 setuid 位是被忽略的。如果是可執行的這種情況，則該文件（可能是應用程序或腳本）的運行就像擁有該文件的用戶啟動的一樣。setuid 的一個很好的例子是 /bin/passwd 實用程序，它允許用戶設置或更改密碼。此實用程序必須能夠寫入到不允許普通用戶更改的文件中（LCTT 譯注：此處是指 /etc/passwd 和 /etc/shadow）。因此它需要精心編寫，由 root 用戶擁有，并具有 setuid 位，以便它可以更改密碼相關文件。

setgid 位對于可執行文件的工作方式類似。該文件將使用擁有它的組的權限運行。但是，setgid 對于目錄還有一個額外的用途。如果在具有 setgid 權限的目錄中創建文件，則該文件的組所有者將設置為該目錄的組所有者。

最后，雖然文件粘滯位沒有意義會被忽略，但它對目錄很有用。在目錄上設置的粘滯位將阻止用戶刪除其他用戶擁有的該目錄中的文件。

在八進制模式下使用 chmod 設置這些位的方法是添加一個值前綴，例如 4755，可以將 setuid 添加到可執行文件中。在符號模式下，u 和 g 也可用于設置或刪除 setuid 和 setgid，例如 u+s,g+s。粘滯位使用 o+t 設置。（其他的組合，如 o+s 或 u+t，是沒有意義的，會被忽略。）

共享與特殊權限

回想一下前一篇文章中關于需要共享文件的財務團隊的示例。可以想象，特殊權限位有助于更有效地解決問題。原來的解決方案只是創建了一個整個組可以寫入的目錄：

drwxrwx---. 2 root finance 4096 Jul  6 15:35 finance

此目錄的一個問題是，finance 組成員的用戶 dwayne 和 jill 可以刪除彼此的文件。這對于共享空間來說不是最佳選擇。它在某些情況下可能有用，但在處理財務記錄時可能不會！

另一個問題是此目錄中的文件可能無法真正共享，因為它們將由 dwayne 和 jill 的默認組擁有 - 很可能用戶私有組也命名為 dwayne 和 jill，而不是 finance。

解決此問題的更好方法是在文件夾上設置 setgid 和粘滯位。這將做兩件事：使文件夾中創建的文件自動歸 finance 組所有，并防止 dwayne 和 jill 刪除彼此的文件。下面這些命令中的任何一個都可以工作：

sudo chmod 3770 finance
sudo chmod u+rwx,g+rwxs,o+t finance

該文件的長列表現在顯示了所應用的新特殊權限。粘滯位顯示為 T 而不是 t，因為 finance 組之外的用戶無法搜索該文件夾。

drwxrws--T. 2 root finance 4096 Jul  6 15:35 finance