Linux sticky bit 目錄權限 rwt權限

• 今天看到有個目錄的權限是rwxrwxrwt 很驚訝這個t是什麼，怎麼不是x或者-呢？搜了下發現：

這個t代表是所謂的sticky bit。

• sticky bit: 該位可以理解為防刪除位. 一個文件是否可以被某用戶刪除, 主要取決於該文件所屬的組是否對該用戶具有寫權限. 如果沒有寫權限, 則這個目錄下的所有文件都不能被刪除, 同時也不能添加新的文件. 如果希望用戶能夠添加文件但同時不能刪除文件, 則可以對文件使用sticky bit位. 設置該位後, 就算用戶對目錄具有寫權限, 也不能刪除該文件.

要刪除一個文件，你不一定要有這個文件的寫權限，但你一定要有這個文件的上級目錄的寫權限。也就是說，你即使沒有一個文件的寫權限，但你有這個文件的上級目錄的寫權限，你也可以把這個文件給刪除，而如果沒有一個目錄的寫權限，也就不能在這個目錄下創建文件。

如何才能使一個目錄既可以讓任何用戶寫入文件，又不讓用戶刪除這個目錄下他人的文件，sticky就是能起到這個作用。stciky一般只用在目錄上，用在文件上起不到什麼作用。

在一個目錄上設了sticky位後，（如/home，權限為1777)所有的用戶都可以在這個目錄下創建文件，但只能刪除自己創建的文件(root除外)，這就對所有用戶能寫的目錄下的用戶文件啟到了保護的作用。

可以通過chmod o+t tmp 來設置tmp目錄的sticky bit，而且/tmp目錄默認是設置了這個位的

stick bit一般是用於目錄上的，用於文件意義不大

那麼原來的執行標志x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標志顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)

總結如下：如果某個目錄設置了sticky bit（是在other用戶的權限上設置的，設置後可執行位從x變成了t），那麼用戶在該目錄下可以創建文件（當然前提是用戶具有寫權限和可執行權限，如果具有可執行權限，設置sticky bit後是t；如果沒有可執行權限的話，設置sticky bit後是T），而且可以刪除自己創建的文件，但是，不能刪除其他用戶創建的文件，這樣就起到了一種保護作用了。

可以參考如下文章：

眾所周知，Linux的文件權限如: 777；666等，其實只要在相應的文件上加上UID的權限，就可以用到加權限人的身份去運行這個文件。所以我們只需要將bash復制出來到另一個地方，然後用root加上UID權限,只要用戶運行此Shell就可以用用root的身份來執行任何文件了

一個文件都有一個所有者, 表示該文件是誰創建的. 同時, 該文件還有一個組編號, 表示該文件所屬的組, 一般為文件所有者所屬的組.

如果是一個可執行文件, 那麼在執行時, 一般該文件只擁有調用該文件的用戶具有的權限. 而setuid, setgid 可以來改變這種設置.

setuid: 設置使文件在執行階段具有文件所有者的權限. 典型的文件是 /usr/bin/passwd. 如果一般用戶執行該文件, 則在執行過程中, 該文件可以獲得root權限, 從而可以更改用戶的密碼.

setgid: 該權限只對目錄有效. 目錄被設置該位後, 任何用戶在此目錄下創建的文件都具有和該目錄所屬的組相同的組.

sticky bit: 該位可以理解為防刪除位. 一個文件是否可以被某用戶刪除, 主要取決於該文件所屬的組是否對該用戶具有寫權限. 如果沒有寫權限, 則這個目錄下的所有文件都不能被刪除, 同時也不能添加新的文件. 如果希望用戶能夠添加文件但同時不能刪除文件, 則可以對文件使用sticky bit位. 設置該位後, 就算用戶對目錄具有寫權限, 也不能刪除該文件.

下面說一下如何操作這些標志:

操作這些標志與操作文件權限的命令是一樣的, 都是 chmod. 有兩種方法來操作,

1) chmod u+s temp -- 為temp文件加上setuid標志. (setuid 只對文件有效)

chmod g+s tempdir -- 為tempdir目錄加上setgid標志 (setgid 只對目錄有效)

chmod o+t temp -- 為temp目錄加上sticky標志 (sticky一般只用於目錄)

2) 采用八進制方式. 對一般文件通過三組八進制數字來置標志, 如 666, 777, 644等. 如果設置這些特殊標志, 則在這組數字之外外加一組八進制數字. 如 4666, 2777等. 這一組八進制數字三位的意義如下,

abc

a - setuid位, 如果該位為1, 則表示設置setuid

b - setgid位, 如果該位為1, 則表示設置setgid

c - sticky位, 如果該位為1, 則表示設置sticky

設置完這些標志後, 可以用 ls -l 來查看. 如果有這些標志, 則會在原來的執行標志位置上顯示. 如

rwsrw-r-- 表示有setuid標志

rwxrwsrw- 表示有setgid標志

rwxrw-rwt 表示有sticky標志

那麼原來的執行標志x到哪裡去了呢? 系統是這樣規定的, 如果本來在該位上有x, 則這些特殊標志顯示為小寫字母 (s, s, t). 否則, 顯示為大寫字母 (S, S, T)

• linux目錄讀權限、執行權限和寫權限

今天看APUE時說目錄的讀權限和執行權限是不同的，以前沒怎麼注意過，今天研究了下。

• 當用戶對某個目錄只有讀權限時，那麼該用戶可以列出該目錄下的文件列表（即可以使用ll來列出目錄下的文件），但是不能進入該目錄（即不能cd 目錄名 來進入該目錄），即如果該目錄是用戶訪問路徑的某個組成部分的話，到這裡是訪問不了的。
• 當用戶對某個目錄只有執行權限時，該用戶是可以進入該目錄的（即可以通過cd 目錄名 來進入該目錄），因為一個用戶要想進入一個目錄，就必須具有可執行權限才可以。但該用戶是不能列出這個目錄下的文件列表的（即不能使用ll等命令列出該目錄下的信息）
• 當用戶具有寫權限時，用戶可以在當前目錄增加或者刪除文件，但需要幾個前提：1、需要有可執行權限2、要想刪除文件，那麼sticky bit位是沒有設置的

總結下下面的幾種情況：

rwx===可以進入該目錄(x)、可以列出該目錄中的文件(r)、可以在該目錄中增加或者刪除文件(w和x)

rwt===可以進入該目錄，可以列出該目錄中的文件，可以在該目錄中增加文件，但不能刪除其他用戶的文件，自己的文件可以刪除

rw-===可以列出該目錄中的文件列表，但無法進入該目錄(因為不具有可執行權限)同時也無法在目錄中增加或者刪除文件，因為如果要想在一個目錄中增加或者刪除文件必須要求具有寫權限和可執行權限才可以。估計這樣的權限列表不太常見

r-x===這種權限列表很常見。可以進入該目錄，可以列出該目錄中文件列表，但不可以在該目錄中增加或者刪除文件

-wx==這種估計也不常見。可以進入該目錄，可以在該目錄中增加或者刪除文件，但不可以列出該目錄中的文件列表

其他的情況例如r--、-w-、--r、---等就很容易分析了。