SUID - UNIX下關於檔案許可權的表示方法和解析

UNIX下可以用ls -l 命令來看到檔案許可權。用ls命令所得到的表示法的格式是類似這樣的：-rwxr-xr-x 。

下面解析一下格式所表示的意思，這種表示方法一共有十位： 
9 8 7 6 5 4 3 2 1 0 
- r w x r - x r - x 

第9位表示檔案型別,可以為p、d、l、s、c、b和-： 
p表示命名管道檔案 
d表示目錄檔案 
l表示符號連線檔案 
-表示普通檔案 
s表示socket檔案 
c表示字元裝置檔案 
b表示塊裝置檔案

第8-6位、5-3位、2-0位分別表示檔案所有者的許可權，同組使用者的許可權，其他使用者的許可權，其形式為rwx： 
r表示可讀，可以讀出檔案的內容 
w表示可寫，可以修改檔案的內容 
x表示可執行，可執行這個程式

例子：
rwxr-x---   1 foo   staff  7734 Apr 05 17:07 myfile

表示檔案myfile是普通檔案，檔案的所有者是foo使用者，而foo使用者屬於staff組，檔案只有1個硬連線，長度是7734個位元組，最後修改時間4月5日17:07。

所有者foo對檔案有讀寫執行許可權，staff組的成員對檔案有讀和執行許可權，其他的使用者對這個檔案沒有許可權。

如果一個檔案被設定了SUID或SGID位，會分別表現在所有者或同組使用者許可權的可執行位上。例如
1、-rwsr-xr-x 表示SUID和所有者許可權中可執行位被設定 
2、-rwSr--r-- 表示SUID被設定，但所有者許可權中可執行位沒有被設定
3、-rwxr-sr-x 表示SGID和同組使用者許可權中可執行位被設定
4、-rw-r-Sr-- 表示SGID被設定，但同組使用者許可權中可執行位沒有被設定

其實在UNIX的實現中，檔案許可權用12個二進位制位表示，如果該位置上的值是1，表示有相應的許可權： 
11 10 9 8 7 6 5 4 3 2 1 0 
S  G T r w x r w x r w x

第11位為SUID位，第10位為SGID位，第9位為sticky位，第8-0位對應於上面的三組rwx位。 
-rwsr-xr-x的值為： 1  0 0 1 1 1 1 0 1 1 0 1 
-rw-r-Sr--的值為： 0  1 0 1 1 0 1 0 0 1 0 0

給檔案加SUID和SUID的命令如下：
chmod u+s filename   設定SUID位
chmod u-s filename   去掉SUID設定
chmod g+s filename   設定SGID位
chmod g-s filename   去掉SGID設定

另外一種方法是chmod命令用八進位制表示方法的設定。如果明白了前面的12位許可權表示法也很簡單。

SUID - 詳細解析

由於SUID和SGID是在執行程式（程式的可執行位被設定）時起作用，而可執行位只對普通檔案和目錄檔案有意義，所以設定其他種類檔案的SUID和SGID位是沒有多大意義的。

普通檔案的SUID和SGID的作用

例子：如果普通檔案myfile是屬於foo使用者的，是可執行的，現在沒設SUID位，ls命令顯示如下： 
-rwxr-xr-x   1 foo   staff  7734 Apr 05 17:07 myfile

任何使用者都可以執行這個程式。UNIX的核心是根據什麼來確定一個程序對資源的訪問許可權的呢？是這個程序的執行使用者的（有效）ID，包括user id和group id。使用者可以用id命令來查到自己的或其他使用者的user id和group id。除了一般的user id 和group id外，還有兩個稱之為effective id，就是有效id，上面的四個id表示為：uid，gid，euid，egid。核心主要是根據euid和egid來確定程序對資源的訪問許可權。

一個程序如果沒有SUID或SGID位，則euid=uid egid=gid，分別是執行這個程式的使用者的uid和gid。例如kevin使用者的uid和gid分別為204和202，foo使用者的uid和gid為200，201，kevin執行myfile程式形成的程序的euid=uid=204，egid=gid=202，核心根據這些值來判斷程序對資源訪問的限制，其實就是kevin使用者對資源訪問的許可權，和foo沒關係。

如果一個程式設定了SUID，則euid和egid變成被執行的程式的所有者的uid和gid，例如kevin使用者執行myfile，euid=200，egid=201，uid=204，gid=202，則這個程序具有它的屬主foo的資源訪問許可權。

SUID的作用就是這樣：讓本來沒有相應許可權的使用者執行這個程式時，可以訪問沒有許可權訪問的資源。passwd就是一個很鮮明的例子。SUID的優先順序比SGID高，當一個可執行程式設定了SUID，則SGID會自動變成相應的egid。

討論一個例子：

UNIX系統有一個/dev/kmem的裝置檔案，是一個字元裝置檔案，裡面儲存了核心程式要訪問的資料，包括使用者的口令。所以這個檔案不能給一般的使用者讀寫，許可權設為：cr--r-----   1 root     system     2,  1 May 25 1998  kmem 
但ps等程式要讀這個檔案，而ps的許可權設定如下： 
-r-xr-sr-x   1 bin      system     59346 Apr 05 1998  ps

這是一個設定了SGID的程式，而ps的使用者是bin，不是root，所以不能設定SUID來訪問kmem，bin和root都屬於system組，而且ps設定了SGID，一般使用者執行ps，就會獲得system組使用者的許可權，而檔案kmem的同組使用者的許可權是可讀，所以一般使用者執行ps就沒問題了。但有些人說，為什麼不把ps程式設定為root使用者的程式，然後設定SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，應該儘量用SGID代替SUID的程式，如果可能的話。

SUID對目錄沒有影響。如果一個目錄設定了SGID位，那麼如果任何一個使用者對這個目錄有寫許可權的話，在這個目錄所建立的檔案的組都會自動轉為這個目錄的屬主所在的組，而檔案所有者不變，還是屬於建立這個檔案的使用者。

來源：http://blog.csdn.net/astonqa/article/details/8292935