分享程序员开发的那些事...
更新时间:2022-06-01 22:46:32
当一个进程使用了设置用户ID和设置组ID作为另一个用户(或者组)运行时,这时候有效用户(组)ID和实际用户(组)ID不一样,但进程仍然希望测试实际用户(组)ID的访问能力。这时候就可以使用access和faccessat。测试步骤同4.5节一样,但将有效改为实际。
#include <unistd.h>
int access(const char *pathname,int mode);
int faccessat(int fd,const char*pathname,int mode,int flag);
//两个函数的返回值:若成功烦怒I0;若出错,返回-1其中,如果测试文件是否已经存在,mode就为F_OK;否则mode是图4-7中所列常量的按位或。
flag参数可以用于改变faccessat的行为,如果flag设置为AT_EACCESS,访问检查用的是调用进程的有效用户ID和有效组ID,而不是实际用户ID和实际组ID。
umask函数为进程设置文件模式创建屏蔽字,并返回之前的值。
#include <sys/stat.h>
mode_t umask(mode_t cmask);其中,参数cmask是由图4-6中列出的9个常量中的若干个按位"或“构成的。
在文件模式创建屏蔽字中为1的位,在文件mode中的相应位一定被关闭。
看下面的例子:
首先将屏蔽位设为0,然后创建一个文件,发现默认创建的文件mode为u=rw,g=rw,o=rw(666)
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ umask 0
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ umask -S
u=rwx,g=rwx,o=rwx
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ touch test.txt
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ll test.txt
-rw-rw-rw- 1 harlan harlan 0 6月 5 21:02 test.txt下面更新文件模式屏蔽字,并创建文件:
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ umask 027
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ umask -S
u=rwx,g=rx,o=
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ touch test2.txt
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ll test2.txt
-rw-r----- 1 harlan harlan 0 6月 5 21:05 test2.txt因为group的x和other的rwx被屏蔽掉了,因此得到上面的结果。
umask值表示为8进制数,一位代表一种要屏蔽的权限,见下图所示:
注意: 用数字和符号表示文件模式屏蔽字的不同,数字中的1表示的是要屏蔽的权限,而符号中显示的是支持的权限。
chmod使得我们可以更改现有文件的访问权限。
#include <sys/stat.h>
int chmod(const char*pathname,mode_t name);
成功返回0;出错返回-1为了改变一个文件的权限位,进程的有效用户ID必须等于文件的所有者ID,或者该用户必须具有超级用户权限。
疑问:可读可写可执行权限和chmod有关系么?
答:没有任何关系。
看下面一个简单的例子,创建一个其他用户可读可写可执行的文件所有者为root的文件:
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ll chmod.txt
-rw-r--rwx 1 root root 0 6月 5 21:16 chmod.txt在harlan用户下创建下面的程序:
#include <fcntl.h>
#include <stdio.h>
int main(void)
{
struct stat statbuf;
if(stat("chmod.txt",&statbuf)<0)
printf("stat error!\n");
int rv = chmod("chmod.txt",statbuf.st_mode & ~S_IRWXO);//remove the other's read write and execute
if(rv < 0)
{
printf("chmod error!\n");
}
return 0;
}上面的程序尝试在harlan用户下来修改chmod.txt文件的权限位,harlan用户对chmod.txt是可读可写可执行的。但是它不能修改此文件的权限位,结果打印:
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ./a.out
chmod error!参数mode是图4-11中所示的常量的按位或:
注意:chmod函数修改的是i节点最近一次被更改的时间,而并不是最后修改文件内容的时间。
注意:如果新文件的组ID不等于进程的有效组ID或者进程附属组ID中的一个,并且进程没有超级用户权限,那么设置组ID位会被自动关闭。在linux3.2.0中,如果没有超级用户权限的进程写一个文件,则设置用户ID位和设置组ID位会被自动清除。看下面的例子:
对于文件chmod.txt,我们同时设置了设置用户ID和设置组ID,
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ll chmod.txt
-rwSr-srwx 1 root root 4 6月 5 22:16 chmod.txt写一段代码来用普通用户权限写这个文件
#include <fcntl.h>
#include <stdio.h>
void PrintSetUserID(unsigned int st_mode)
{
if(st_mode&S_ISUID)
{
printf("set-user-ID is 1.\n");
}
else
{
printf("set-user-ID is 0.\n");
}
}
void PrintSetGroupID(unsigned int st_mode)
{
if(st_mode&S_ISGID)
{
printf("set-group-ID is 1.\n");
}
else
{
printf("set-group-ID is 0.\n");
}
}
void ClearSetUserID_SetGroupID()
{
struct stat statbuf;
if(stat("chmod.txt",&statbuf)<0)
printf("stat error!-");
else
{
PrintSetUserID(statbuf.st_mode);
PrintSetGroupID(statbuf.st_mode);
}
int fd = open("chmod.txt",O_RDWR);
ssize_t num = write(fd,"test",4);
printf("write num:%d\n",(int)num);
if(stat("chmod.txt",&statbuf)<0)
printf("stat error!--\n");
else
{
PrintSetUserID(statbuf.st_mode);
PrintSetGroupID(statbuf.st_mode);
}
}
int main(void)
{
ClearSetUserID_SetGroupID();
return 0;
} 运行结果:
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ./a.out
set-user-ID is 1.
set-group-ID is 1.
write num:4
set-user-ID is 0.
set-group-ID is 0.看下面的例子:
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ mkdir dir
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ chmod 777 dir
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ll
...
drwxrwsrwx 2 harlan harlan 0 6月 5 22:47 dir
...
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ chmod o+t dir
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ll
...
drwxrwsrwt 2 harlan harlan 0 6月 5 22:47 dir
...
疑问:粘着位和其他写是否同时存在?见下面的代码:
#include <fcntl.h>
#include <stdio.h>
void main()
{
struct stat statbuf;
if(stat("dir",&statbuf))
printf("stat error!\n");
if(statbuf.st_mode & S_ISVTX)
{
printf("sticky bit is set!\n");
}
if(statbuf.st_mode & S_IXOTH)
{
printf("other execute bit is set!\n");
}
} 输出结果为:
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ ./a.out
sticky bit is set!
other execute bit is set!可见是可以同时存在的。同时存在和只存在黏着位的显示有什么区别呢?见下面的例子:
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ chmod 776 dir
drwxrwsrw- 2 harlan harlan 0 6月 5 22:47 dir
harlan@DESKTOP-KU8C3K5:/github/APUE/chapter_4/myexamples$ chmod o+t dir
drwxrwsrwT 2 harlan harlan 0 6月 5 22:47 dir可见如果只有粘着位其它的第三位为大写的T,如果是小写表示粘着位+可执行。
/var/tmp 目录设置了粘着位+任意用户的可读可写可执行
harlan@DESKTOP-KU8C3K5:/var$ ll
总用量 12
drwxr-xr-x 2 root root 0 4月 11 2014 backups
drwxr-xr-x 2 root root 0 3月 30 14:52 cache
drwxrwxrwt 2 root root 0 3月 30 14:52 crash
drwxr-xr-x 2 root root 0 4月 27 22:17 lib
drwxrwsr-x 2 root staff 0 4月 11 2014 local
lrwxrwxrwx 1 root root 9 3月 30 14:50 lock -> /run/lock
drwxrwxr-x 2 root syslog 0 5月 1 21:38 log
drwxrwsr-x 2 root mail 0 3月 30 14:50 mail
drwxr-xr-x 2 root root 0 3月 30 14:50 opt
lrwxrwxrwx 1 root root 4 3月 30 14:50 run -> /run
drwxr-xr-x 2 root root 0 3月 30 14:50 spool
drwxrwxrwt 2 root root 0 6月 5 22:28 tmp我们用root用户在tmp目录下面创建一个文件:
root@DESKTOP-KU8C3K5:/var/tmp# ll
总用量 4
drwxrwxrwt 2 root root 0 6月 5 22:28 ./
drwxr-xr-x 2 root root 0 3月 30 14:53 ../
-rw-r--r-- 1 root root 0 6月 5 22:28 test.txt尝试在harlan用户下删除:
harlan@DESKTOP-KU8C3K5:/var/tmp$ rm test.txt
rm:是否删除有写保护的普通空文件 "test.txt"? y
rm: 无法删除"test.txt": 不允许的操作虽然harlan用户对这个目录具有写权限,但因为所在目录设置了粘着位,并且不满足上述任意三个条件之一,因此不讷讷个删除文件。
作者:
HarlanC
博客地址:
http://www.cnblogs.com/harlanc/
个人博客:
http://www.harlancn.me/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出,
原文链接
如果觉的博主写的可以,收到您的赞会是很大的动力,如果您觉的不好,您可以投反对票,但麻烦您留言写下问题在哪里,这样才能共同进步。谢谢!