Linux Stick BIT（SBIT）特殊权限详解

目录#

什么是粘着位（SBIT）
粘着位的工作原理
粘着位的使用场景
如何设置和移除粘着位
- 使用数字权限表示法
- 使用符号权限表示法
粘着位的常见实践和最佳实践
示例用法
总结
参考资料

什么是粘着位（SBIT）#

粘着位（Stick BIT）是Linux系统中的一种特殊权限，它主要应用于目录。当一个目录被设置了粘着位后，该目录中的文件只有其所有者、目录所有者或root用户才有权限删除或重命名这些文件，即使其他用户对该目录有写权限也无法删除或重命名不属于他们的文件。

粘着位的工作原理#

粘着位的核心作用是限制对目录中文件的删除和重命名操作。在没有设置粘着位的目录中，如果一个用户对该目录有写权限，那么他就可以删除或重命名该目录下的任何文件，无论这些文件的所有者是谁。而当目录设置了粘着位后，系统会在进行删除或重命名操作时进行额外的检查，只有满足特定条件（文件所有者、目录所有者或root用户）的用户才能执行这些操作。

粘着位的使用场景#

粘着位最常见的使用场景是公共目录，例如/tmp目录。/tmp目录是系统中所有用户都可以读写的公共目录，如果没有粘着位的保护，任何用户都可以删除或重命名其他用户在该目录下创建的文件，这会导致数据的混乱和丢失。通过设置粘着位，可以确保每个用户的文件只能由其自己或root用户进行删除或重命名，从而保护了用户数据的安全。

如何设置和移除粘着位#

使用数字权限表示法#

在数字权限表示法中，粘着位用数字1表示。数字权限表示法的格式为u+s+g+t+o，其中u表示用户权限，s表示用户的SUID和SGID权限，g表示组权限，t表示粘着位，o表示其他用户权限。

设置粘着位：

chmod 1777 /path/to/directory

这里的1表示设置粘着位，777表示用户、组和其他用户都有读、写、执行权限。

移除粘着位：

chmod 0777 /path/to/directory

将数字权限中的1改为0，即可移除粘着位。

使用符号权限表示法#

在符号权限表示法中，粘着位用t表示。

设置粘着位：

chmod +t /path/to/directory

这会在当前权限的基础上添加粘着位。

移除粘着位：

chmod -t /path/to/directory

这会从当前权限中移除粘着位。

粘着位的常见实践和最佳实践#

常见实践#

公共目录：如前面提到的/tmp目录，设置粘着位可以保护用户数据的安全。
多用户共享目录：在多人协作的环境中，共享目录可能会被多个用户访问和修改，设置粘着位可以避免误删除或误重命名其他用户的文件。

最佳实践#

合理设置权限：在设置粘着位时，要根据实际需求合理设置用户、组和其他用户的权限。例如，如果一个目录只有特定用户组可以访问，那么可以将组权限设置为较高的权限，而其他用户权限设置为较低的权限。
定期检查权限：定期检查系统中重要目录的权限设置，确保粘着位和其他权限设置正确，避免因权限设置不当导致的安全问题。

示例用法#

设置粘着位#

假设我们有一个公共目录/data/shared，我们希望设置粘着位来保护其中的文件。

# 创建目录
mkdir /data/shared
 
# 设置权限
chmod 1777 /data/shared
 
# 查看权限
ls -ld /data/shared

输出结果可能如下：

drwxrwxrwt 2 root root 4096 Sep  1 10:00 /data/shared

其中rwxrwxrwt中的t表示该目录设置了粘着位。

测试粘着位#

我们可以创建两个用户user1和user2，并在/data/shared目录下进行测试。

# 创建用户
useradd user1
useradd user2
 
# 切换到user1用户
su - user1
 
# 在共享目录下创建文件
touch /data/shared/user1_file
 
# 切换到user2用户
su - user2
 
# 尝试删除user1的文件
rm /data/shared/user1_file

由于设置了粘着位，user2无法删除user1的文件，会提示权限不足。

总结#

粘着位（SBIT）是Linux系统中一种重要的特殊权限，它为目录中的文件提供了额外的安全保护机制。通过设置粘着位，可以限制对目录中文件的删除和重命名操作，确保每个用户的文件只能由其自己或root用户进行管理。在实际应用中，粘着位常用于公共目录和多用户共享目录，以保护用户数据的安全。在设置和管理粘着位时，要根据实际需求合理设置权限，并定期检查权限设置，以确保系统的安全性。

参考资料#

《鸟哥的Linux私房菜》
Linux官方文档
《Linux系统管理手册》