在 Linux 中如何使用粘滞位 (t-bit)共享文件

文件共享的常见场景

在 Linux 系统中，多用户环境下共享文件的需求可能包括：

• 多个用户需要访问和修改同一个目录中的文件。
• 保证目录中文件的协作性和安全性。
• 防止非所有者的用户删除他人的文件。

为了解决这些问题，可以结合使用目录权限和粘滞位。

基础概念

Linux 文件权限

Linux 文件系统的权限分为三类：

• 读 ®：允许查看文件内容或列出目录。
• 写 (w)：允许修改文件内容或在目录中创建、删除文件。
• 执行 (x)：允许执行文件或进入目录。

权限针对三种身份设置：

• 文件所有者 (Owner)
• 所属组 (Group)
• 其他人 (Others)

粘滞位 (Sticky Bit)

粘滞位是 Linux 文件系统的一种特殊权限，通常用于共享目录。它的作用是：

• 在目文录中设置粘滞位后，即使其他用户对目录有写权限，他们也只能删除或修改自己拥有的文件，而不能删除或修改其他用户的件。

设置共享目录并配置粘滞位

创建共享目录

使用 mkdir 命令创建一个共享目录，例如：

sudo mkdir /shared

设置目录权限

为共享目录分配读写执行权限，使所有用户可以访问和使用该目录：

sudo chmod 777 /shared

上述命令将权限设置为：

• 所有者：读、写、执行
• 所属组：读、写、执行
• 其他人：读、写、执行

虽然所有用户现在都可以自由操作目录，但这种设置也带来了风险，因为任何人都可以删除他人的文件。

添加粘滞位

为了防止非所有者删除其他用户的文件，我们需要为目录添加粘滞位：

sudo chmod +t /shared

此时，如果使用 ls -ld /shared 查看目录的权限，可以看到如下结果：

drwxrwxrwt 2 root root 4096 Dec 22 12:00 /shared

其中最后的 t 表示粘滞位已生效。

验证粘滞位的效果

创建测试用户

创建两个测试用户：

sudo useradd user1
sudo useradd user2

并为它们设置密码：

sudo passwd user1
sudo passwd user2

模拟文件操作

切换到 user1 用户，并在共享目录中创建一个文件：

su - user1
cd /shared
echo "Hello from user1" > file1.txt

切换到 user2 用户，尝试删除 user1 创建的文件：

su - user2
cd /shared
rm file1.txt

此时会出现类似以下的错误信息：

rm: cannot remove 'file1.txt': Operation not permitted

这证明粘滞位生效，user2 无法删除 user1 的文件。

但是，user2 依然可以创建自己的文件并删除它：

echo "Hello from user2" > file2.txt
rm file2.txt

注意事项

1. 权限设置：
   • 确保共享目录的权限满足协作需求（如 777）。
   • 粘滞位并不会限制用户对自己文件的权限。
2. 安全性：
   • 虽然粘滞位可以防止文件被误删，但对于文件的读取或写入权限，依然需要通过合理的权限管理来控制。
3. 应用场景：
   • 粘滞位通常用于 /tmp 目录，该目录对所有用户开放，但通过粘滞位防止用户删除他人文件。

小结

通过结合目录权限和粘滞位，Linux 系统能够更好地管理共享文件的访问和保护。粘滞位是一种简单而有效的机制，适用于多用户协作的场景。如果您正在管理一个共享环境，不妨尝试使用粘滞位来提高资源的安全性。