一、安全上下文的概念

1. 任何一个可执行程序文件能不能启动为进程，取决于发起者对程序文件是否拥有执行权限
2. 启动为进程之后，其进程属主为进程的发起者，属组为发起者属组
3. 进程访问文件时的权限取决于进程的发起者
   • 进程的发起者，同文件的属主，则应用文件属主权限
   • 进程的发起者，属于文件的属组，则应用文件属组权限
   • 否则应用其他权限

   ---

二、特殊权限

1. 概念

1. SUID：一个用户运行进程，取决于用户对执行文件是否有执行权，运行起来后，进程的属主是运行进程的用户，而有suid的文件，启动的进程属主为执行文件的属主
2. SGID：默认情况下，用户新建文件时，这个文件的属组为用户的基本组，而一旦某目录加上了SGID权限，则新建的文件属组会继承父目录的属组，其缺点是会带来多人可写目录，这样的话目录属组中的成员对目录中的文件都可以互相删除，需粘滞位解决
3. Sticky：粘至位权限，默认情况下，多人可写目录，用户可删除他人的文件，而粘滞位权限可解决这个问题，让每个用户仅能删除自己的文件

2. 赋权方法

1. chmod u+s：增加SUID权限
2. chmod g+s：增加SGID权限
3. chmod o+t：增加粘滞位权限

3. 系统自带粘至位的目录

• /tmp
• /var/tmp

4.具有特殊权限的文件映射显示

1. SUID：占据属主的执行权限位
   s：原有x
   S：没有x
2. SGID：占据属组的执行权限位
   s：原有x
   S：没有x
3. Stacky：占据其他执行权限位
   t：原有x
   T：没有x

5. 权限换算：特殊权限也可换算程8进制表示

Suid  Sgid  Sticky  十进制
  0		0	  1		  1
  0		1	  0		  2
  0		1	  1		  3
  1		0	  0		  4
  1		0	  1	      5
  1		1	  0		  6
  1		1	  1		  7

三、权限相关的一些小细节

1. 目录包含下列权限所代表的意义
   • r：拥有读权限，表示可使用ls命令获取其下的所有文件列表
   • w：用些写权限，表示可在此目录下修改（删除）文件
   • x：可cd至此目录中
2. 文件：
   • r：文件拥有读权限，表示可读取文件的数据
   • w：文件拥有写权限，表示可修改数据
   • x：文件拥有执行权限，表示可将此文件运行为进程，但文件内容必须是可执行的

注：可否删除某个文件，取决于用户对这个文件的父目录是否有写权限