Unix establece unas reglas de protección específicas para controlar los cambios de cualquier atributo de protección de un fichero, dado que dichas modificaciones se consideran operaciones distintas de la de escritura, y por tanto no pueden ser concedidas/denegadas en función de los bits de permiso del fichero.
En concreto, las reglas establecidas al respecto son las siguientes:
Cambio en los bits de permiso. Un proceso puede cambiar los bits de permiso de un fichero sólo si:
el eUID del proceso es 0 (estamos en el caso en el que el proceso pertenece al superusuario), o bien
el eUID del proceso es igual al ownerUID del fichero.
Es decir, sólo el superusuario o el propietario de un fichero pueden modificar sus bits de permiso.
Cambio de propietario. El cambio de propietario de un fichero puede realizarlo tan sólo el superusuario.
Cambio de grupo propietario. El cambio del grupo propietario de un fichero puede realizarse sólo si:
lo realiza el superusuario, o bien
lo realiza el propietario del fichero, siempre que el nuevo ownerGID del fichero sea igual a alguno de los grupos de dicho usuario.