关于Linux文件访问权限与设置用户id位

最近在学习《Unix 高级环境编程》这边书，之前对Unix中的文件访问还有和文件访问相关的设置用户id(set_user_ID)位以及设置组id(set-group-ID)位一直没有弄清楚，今天跟他人讨论一个问题，终于有些明白了，记录以供温故。

首先说说文件的权限控制位，每一个文件都有文件模式字st_mode，ls -l一个文件前面10位就是文件的类型和权限说明了。具体可分为用户读写可执行，组读写执行，其他读写执行位。当一个进程要访问某个文件的时候，会以进程的有效用户ID来进行权限检测，看改用户ID具体属于文件的哪个部分，是文件用户本身，还是属于用户组还是属于其他用户的。与每个进程相关联的用户ID和组ID包括实际用户（实际上是谁），ID实际组ID；有效用户ID（用于文件访问权限检查），有效组ID，附加组ID（有时候一个用户可能属于多个组）；保存的设置用户ID（由exec函数保存），保存的设置组ID。所有者ID是文件的性质，而有效ID和附加组ID是进程的性质。一般内核进行的检测是：
(1)若进程的有效用户ID是0（超级用户），则允许访问。
(2)若进程的有效用户ID等于文件的所有者ID（即进程拥有此文件），那么当所有者适当的访问权限位被设置，则允许访问，否则拒绝访问。适当的访问权限位指的是，若进程为读而打开该文件，则用户读位应为1，若进程为写而打开该文件，则用户的写位应为1。。。
(3)若进程的有效用户ID或进程的附加组ID之一等于文件的组ID，那么：若组的适当的访问权限位被设置，则允许访问，否则拒绝访问。
(4)若其他用户适当的访问权限位被设置，则允许访问，否则拒绝访问。
按顺序执行这四步，若进程拥有此文件（第2步），则按用户访问权限批准或拒绝该进程对文件的访问，不查看组访问权限。类似地，若进程并不拥有该文件，但进程属于某一个适当的组，则按组访问权限批准或者拒绝该进程对文件的访问，不查看其他用户的访问权限。当进程既不拥有该文件，进程也不属于某个组，就只能查看其他用户的访问权限了。
当执行一个程序文件时，进程的有效用户ID通常就是实际用户ID，有效组ID通常就是实际组ID。但是当文件设置了用户ID位后，当执行此文件时，将进程的有效用户ID设置为文件所有者的用户ID（st_uid)，设置组ID类似。下面将以一个例子来具体说明，其中access函数是按照实际用户ID和实际组ID进行访问权限测试的，open函数打开一个文件事，内核以进城的有效用户ID和有效组ID为基础进行权限测试。
access函数实例：
C代码
#include "apue.h"
#include <fcntl.h>

int main(int argc, char *argv[])
{
if (argc != 2)
err_quit("usage: a.out <pathname>");
if (access(argv[1], R_OK) < 0)
err_ret("access error for %s", argv[1]);
else
printf("read access OK\n");
if (open(argv[1], O_RDONLY) < 0)
err_ret("open error for %s", argv[1]);
else
printf("open for reading OK\n");
exit(0);
}
编译生成可执行文件a.out并执行：
chardliu@ubuntu:~/apue.2e/file$ cc access.c
chardliu@ubuntu:~/apue.2e/file$ ls -l a.out
-rwxrwxr-x 1 chardliu chardliu 7839 Jun 26 21:01 a.out
chardliu@ubuntu:~/apue.2e/file$ ./a.out a.out
read access OK
open for reading OK
root@ubuntu:/home/chardliu/apue.2e/file# ll /etc/shadow
-r-------- 1 root shadow 1235 Apr 11 18:50 /etc/shadow
chardliu@ubuntu:~/apue.2e/file$ ./a.out /etc/shadow
access error for /etc/shadow: Permission denied
open error for /etc/shadow: Permission denied
此时之所以access和open都出错，是因为进程的实际用户ID和有效用户ID都为chardliu，而shadow文件的用户所有者是root，所以当进程以chardliu身份来对shadow文件进行访问权限检测时，是根据shadow的其他用户读写执行位来检测的，由上可知，shadow文件只有所有者root本身可读，没有其他任何权限。
按理，那么当给shadow文件增加其他用户读权限后access和open都应该成功，测试一下果真如此：
chardliu@ubuntu:~/apue.2e/file$ su //以root用户对shadow文件进行权限设置
Password:
root@ubuntu:/home/chardliu/apue.2e/file# chmod o+r /etc/shadow //给shadow增加其他用户可读权限
root@ubuntu:/home/chardliu/apue.2e/file# exit
exit
chardliu@ubuntu:~/apue.2e/file$ ll /etc/shadow
-r-----r-- 1 root shadow 1235 Apr 11 18:50 /etc/shadow
chardliu@ubuntu:~/apue.2e/file$ ./a.out /etc/shadow //再次访问shadow文件，OK
read access OK
open for reading OK

下面说明一下设置用户ID的作用。
在此之前还是将shadow的文件访问控制位置为原来的，即清除其他用户可读权限，同时将a.out可执行文件的所有者改为root，并且设置其用户ID位：

chardliu@ubuntu:~/apue.2e/file$ su
Password:
root@ubuntu:/home/chardliu/apue.2e/file# chmod o-r /etc/shadow
root@ubuntu:/home/chardliu/apue.2e/file# ll /etc/shadow
-r-------- 1 root shadow 1235 Apr 11 18:50 /etc/shadow
root@ubuntu:/home/chardliu/apue.2e/file# chown root a.out
root@ubuntu:/home/chardliu/apue.2e/file# chmod u+s a.out
root@ubuntu:/home/chardliu/apue.2e/file# ll a.out
-rwsrwxr-x 1 root chardliu 7839 Jun 26 21:01 a.out*
退出超级用户，以正常用户运行：
root@ubuntu:/home/chardliu/apue.2e/file# exit
exit
chardliu@ubuntu:~/apue.2e/file$ ./a.out /etc/shadow
access error for /etc/shadow: Permission denied
open for reading OK
会发现运行结果access失败，而打开文件成功。access是以实际用户IDchardliu对shadow进行访问权限检测的，发现其他用户读没有设置权限，所以失败；a.out设置了用户ID，所以当进程执行a.out时，进程的有效用户ID由chardliu设置为了a.out所有者的用户ID root了，所以可以成功打开文件，open是以进程的有效用户ID进行访问权限检测的。
通过这个过程，相信会对文件的访问权限控制有一个比较清晰的理解。
参考资料：W.Richard Stevens, Stephen A.Rago《UNIX环境高级编程》

FROM: http://www.myhack58.com/Article/48/66/2014/50782_2.htm