就在上周，我還自認(rèn)為對 Linux 上的用戶和組的工作機(jī)制了如指掌。我認(rèn)為它們的關(guān)系是這樣的：

1. 每個(gè)進(jìn)程都屬于一個(gè)用戶（比如用戶?julia）

2. 當(dāng)這個(gè)進(jìn)程試圖讀取一個(gè)被某個(gè)組所擁有的文件時(shí)， Linux 會 a. 先檢查用戶julia?是否有權(quán)限訪問文件。（LCTT 譯注：此處應(yīng)該是指檢查文件的所有者是否就是?julia） b. 檢查?julia?屬于哪些組，并進(jìn)一步檢查在這些組里是否有某個(gè)組擁有這個(gè)文件或者有權(quán)限訪問這個(gè)文件。

3. 如果上述 a、b 任一為真（或者“其它”位設(shè)為有權(quán)限訪問），那么這個(gè)進(jìn)程就有權(quán)限訪問這個(gè)文件。

比如說，如果一個(gè)進(jìn)程被用戶?julia?擁有并且?julia?在awesome?組，那么這個(gè)進(jìn)程就能訪問下面這個(gè)文件。

然而上述的機(jī)制我并沒有考慮得非常清楚，如果你硬要我闡述清楚，我會說進(jìn)程可能會在運(yùn)行時(shí)去檢查?/etc/group?文件里是否有某些組擁有當(dāng)前的用戶。

然而這并不是 Linux 里“組”的工作機(jī)制

我在上個(gè)星期的工作中發(fā)現(xiàn)了一件有趣的事，事實(shí)證明我前面的理解錯(cuò)了，我對組的工作機(jī)制的描述并不準(zhǔn)確。特別是 Linux?并不會在進(jìn)程每次試圖訪問一個(gè)文件時(shí)就去檢查這個(gè)進(jìn)程的用戶屬于哪些組。

我在讀了《Linux 編程接口》這本書的第九章（“進(jìn)程資格”）后才恍然大悟（這本書真是太棒了），這才是組真正的工作方式！我意識到之前我并沒有真正理解用戶和組是怎么工作的，我信心滿滿的嘗試了下面的內(nèi)容并且驗(yàn)證到底發(fā)生了什么，事實(shí)證明現(xiàn)在我的理解才是對的。

用戶和組權(quán)限檢查是怎么完成的

現(xiàn)在這些關(guān)鍵的知識在我看來非常簡單! 這本書的第九章上來就告訴我如下事實(shí)：用戶和組 ID 是進(jìn)程的屬性，它們是：

• 真實(shí)用戶 ID 和組 ID；

• 有效用戶 ID 和組 ID；

• 保存的 set-user-ID 和保存的 set-group-ID；

• 文件系統(tǒng)用戶 ID 和組 ID（特定于 Linux);

• 補(bǔ)充的組 ID；

這說明 Linux?實(shí)際上檢查一個(gè)進(jìn)程能否訪問一個(gè)文件所做的組檢查是這樣的：

• 檢查一個(gè)進(jìn)程的組 ID 和補(bǔ)充組 ID（這些 ID 就在進(jìn)程的屬性里，并不是實(shí)時(shí)在?/etc/group?里查找這些 ID）

• 檢查要訪問的文件的訪問屬性里的組設(shè)置

• 確定進(jìn)程對文件是否有權(quán)限訪問（LCTT 譯注：即文件的組是否是以上的組之一）

通常當(dāng)訪問控制的時(shí)候使用的是有效用戶/組 ID，而不是真實(shí)用戶/組 ID。技術(shù)上來說當(dāng)訪問一個(gè)文件時(shí)使用的是文件系統(tǒng)的 ID，它們通常和有效用戶/組 ID 一樣。（LCTT 譯注：這句話針對 Linux 而言。）

將一個(gè)用戶加入一個(gè)組并不會將一個(gè)已存在的進(jìn)程（的用戶）加入那個(gè)組

下面是一個(gè)有趣的例子：如果我創(chuàng)建了一個(gè)新的組：panda?組并且將我自己（bork）加入到這個(gè)組，然后運(yùn)行?groups?來檢查我是否在這個(gè)組里：結(jié)果是我（bork）竟然不在這個(gè)組？！

panda?并不在上面的組里！為了再次確定我們的發(fā)現(xiàn)，讓我們建一個(gè)文件，這個(gè)文件被?panda?組擁有，看看我能否訪問它。

好吧，確定了，我（bork）無法訪問?panda-file.txt。這一點(diǎn)都不讓人吃驚，我的命令解釋器并沒有將?panda?組作為補(bǔ)充組 ID，運(yùn)行?adduser bork panda?并不會改變這一點(diǎn)。

那進(jìn)程一開始是怎么得到用戶的組的呢？

這真是個(gè)非常令人困惑的問題，對嗎？如果進(jìn)程會將組的信息預(yù)置到進(jìn)程的屬性里面，進(jìn)程在初始化的時(shí)候怎么取到組的呢？很明顯你無法給你自己指定更多的組（否則就會和 Linux 訪問控制的初衷相違背了……）

有一點(diǎn)還是很清楚的：一個(gè)新的進(jìn)程是怎么從我的命令行解釋器（/bash/fish）里被執(zhí)行而得到它的組的。（新的）進(jìn)程將擁有我的用戶 ID（bork），并且進(jìn)程屬性里還有很多組 ID。從我的命令解釋器里執(zhí)行的所有進(jìn)程是從這個(gè)命令解釋器里?fork()?而來的，所以這個(gè)新進(jìn)程得到了和命令解釋器同樣的組。

因此一定存在一個(gè)“第一個(gè)”進(jìn)程來把你的組設(shè)置到進(jìn)程屬性里，而所有由此進(jìn)程而衍生的進(jìn)程將都設(shè)置這些組。而那個(gè)“第一個(gè)”進(jìn)程就是你的登錄程序login shell，在我的筆記本電腦上，它是由?login?程序（/bin/login）實(shí)例化而來。登錄程序以 root 身份運(yùn)行，然后調(diào)用了一個(gè) C 的庫函數(shù) ——?initgroups?來設(shè)置你的進(jìn)程的組（具體來說是通過讀取?/etc/group?文件），因?yàn)榈卿洺绦蚴且?root 運(yùn)行的，所以它能設(shè)置你的進(jìn)程的組。

讓我們再登錄一次

好了！假如說我們正處于一個(gè)登錄程序中，而我又想刷新我的進(jìn)程的組設(shè)置，從我們前面所學(xué)到的進(jìn)程是怎么初始化組 ID 的，我應(yīng)該可以通過再次運(yùn)行登錄程序來刷新我的進(jìn)程組并啟動一個(gè)新的登錄命令！

讓我們試試下邊的方法：

當(dāng)然，成功了！現(xiàn)在由登錄程序衍生的程序的用戶是組?panda?的一部分了！太棒了！這并不會影響我其他的已經(jīng)在運(yùn)行的登錄程序（及其子進(jìn)程），如果我真的希望“所有的”進(jìn)程都能對?panda?組有訪問權(quán)限。我必須完全的重啟我的登錄會話，這意味著我必須退出我的窗口管理器然后再重新登錄。（LCTT 譯注：即更新進(jìn)程樹的樹根進(jìn)程，這里是窗口管理器進(jìn)程。）

newgrp 命令

在 Twitter 上有人告訴我如果只是想啟動一個(gè)刷新了組信息的命令解釋器的話，你可以使用?newgrp（LCTT 譯注：不啟動新的命令解釋器），如下：

你也可以用?sg panda bash?來完成同樣的效果，這個(gè)命令能啟動一個(gè)bash?登錄程序，而這個(gè)程序就有?panda?組。

seduid 將設(shè)置有效用戶 ID

其實(shí)我一直對一個(gè)進(jìn)程如何以?setuid root?的權(quán)限來運(yùn)行意味著什么有點(diǎn)似是而非?，F(xiàn)在我知道了，事實(shí)上所發(fā)生的是：setuid?設(shè)置了
“有效用戶 ID”! 如果我（julia）運(yùn)行了一個(gè)?setuid root?的進(jìn)程（ 比如?passwd），那么進(jìn)程的真實(shí)用戶 ID 將為?julia，而有效用戶 ID 將被設(shè)置為?root。

passwd?需要以 root 權(quán)限來運(yùn)行，但是它能看到進(jìn)程的真實(shí)用戶 ID 是?julia?，是?julia?啟動了這個(gè)進(jìn)程，passwd?會阻止這個(gè)進(jìn)程修改除了?julia?之外的用戶密碼。