linux - 非 root 用户解压缩文件时是否可以保留 setgid 位？

Question

我有一个具有以下权限的文件夹:

drwxrws--x+ 13 myuser  www-data      4096 Mar 20 09:57 project-folder

在此文件夹中，我有一个具有以下权限的存档 archive.zip:

-rw-rw----+    1 myuser www-data  10260 Mar 20 09:56 archive.zip

当我通过调用 unzip archive.zip 解压缩存档时，我得到以下文件列表:

drwxrwx--x+    3 myuser www-data   4096 May  5  2017 folder-from-archive

正如我们所见，所有者组是 www-data 与父文件夹 project-folder 相同，但是 folder-from-archive 没有 setgid 位(权限的“s”部分)并且此文件夹的内容不属于 www-data 组:

-rw-rw----+ 1 myuser myuser 1083 May  5  2017 LICENSE
-rw-rw----+ 1 myuser myuser 2197 May  5  2017 README.md
-rw-rw----+ 1 myuser myuser  720 May  5  2017 autoload.php
-rw-rw----+ 1 myuser myuser  786 May  5  2017 composer.json
drwxrwx--x+ 3 myuser myuser 4096 May  5  2017 source

但是当我尝试以 root 用户身份解压缩此存档时，权限和组所有者(以及文件夹中的文件)是正确的:

drwxr-s--x+    3 root www-data   4096 May  5  2017 folder-from-archive

文件夹 folder-from-archive 中的文件:

-rw-r-----+ 1 root www-data 1083 May  5  2017 LICENSE
-rw-r-----+ 1 root www-data 2197 May  5  2017 README.md
-rw-r-----+ 1 root www-data  720 May  5  2017 autoload.php
-rw-r-----+ 1 root www-data  786 May  5  2017 composer.json
drwxr-s--x+ 3 root www-data 4096 May  5  2017 source

正如我们在 root 用户解压缩后看到的那样，该文件夹继承了粘滞位并为其自身和所有包含的文件设置了正确的组 www-data。

如何为用户 myuser 获得相同的行为？

Answer 1

用户 root 是 www-data 组的成员吗？如果是这样，那就可以解释为什么 root 的提取具有正确的提取组所有者。

同样，如果 myuser 不在 www-data 组中，那么文件将被提取为 myuser:myuser

参见 man chmod:

SETUID AND SETGID BITS

chmod clears the set-group-ID bit of a regular file if the file's group ID does not match the user's effective group ID or one of the user's supplementary group IDs, unless the user has appropriate privileges. Additional restrictions may cause the set-user-ID and set-group-ID bits of MODE or RFILE to be ignored. This behavior depends on the policy and functionality of the underlying chmod system call. When in doubt, check the underlying system behavior.

原始笔记

我有一个用户报告说 setgid 路径下的文件有一些文件的 $user:$user 而不是预期的 $user:$group。我怀疑这可能是由于存档提取造成的，因为 setgid 位直到提取的目录都是正确的，其中组是正确的，但 setgid 丢失。

我的谷歌搜索只找到了这篇文章。鉴于我决定对其进行测试，但是我无法使用 unzip 重现该问题，还使用 ​​tar.gz 文件并使用 tar 进行了类似的测试:

创建测试存档

$ cd ~ && mkdir testdata
$ ls -ld testdata
drwxrwxr-x 12 flakrat flakrat 512 May 16 11:43 testdata

$ cd testdata
$ for n in {1..10}; do mkdir $n; for m in {1..10}; do touch $n/$m; done; done
$ cd ..
$ zip -r -q testdata.zip testdata

创建/project/mygroup，使用setgid对工作区进行分组

$ cd /project
$ mkdir mygroup && chgrp mygroup mygroup && chmod g+rwxs mygroup
$ ls -ld mygroup
drwxrwsr-x 2 flakrat mygroup 512 May 16 11:46 mygroup

提取存档

$ cd /project/mygroup
$ unzip -q ~/testdata.zip

查看结果，group在整个提取树中都是完整的

$ ls -ld testdata
drwxrwsr-x 12 flakrat mygroup 512 May 16 11:43 testdata

$ ls -l testdata
total 0
drwxrwsr-x 2 flakrat mygroup 512 May 16 11:43 1
drwxrwsr-x 2 flakrat mygroup 512 May 16 11:43 10
...

$ ls -l testdata/1/
total 0
-rw-rw-r-- 1 flakrat mygroup 0 May 16 11:43 1
-rw-rw-r-- 1 flakrat mygroup 0 May 16 11:43 10
...