Linux 权限设置和 SUID, SGID 以及粘滞位

来源：互联网发布：软件设计师考试知识点编辑：程序博客网时间：2024/06/03 13:54

一. Linux 文件权限的表示方法

文件权限用 12 个二进制位表示，如果该位的值是 1，表示有相应的权限：

11 10 9 8 7 6 5 4 3 2 1 0

S G T r w x r w x r w x

第 11 位为 SUID 位，第 10 位为 SGID 位，第 9 位为 sticky 位，第 8-0 位对应于上面的三组 rwx 位。

上面的-rwsr-xr-x的值为： 1 0 0 1 1 1 1 0 1 1 0 1

-rw-r-Sr--的值为： 0 1 0 1 1 0 1 0 0 1 0 0

给文件加 SUID 和 SUID 的命令如下：

chmod u+s filename 设置SUID位

chmod u-s filename 去掉SUID设置

chmod g+s filename 设置SGID位

chmod g-s filename 去掉SGID设置

另外一种方法是 chmod 命令用八进制表示方法的设置。如果明白了前面的 12 位权限表示法也很简单。

二. SUID 和 SGID 的详细解析

由于 SUID 和 SGID 是在执行程序（程序的可执行位被设置）时起作用，而可执行位只对普通文件和目录文件有意义，所以设置其他种类文件的 SUID 和 SGID 位是没有多大意义的。

首先讲普通文件的 SUID 和 SGID 的作用。

如果普通文件 file 是属于 foo 用户的，是可执行的，现在没设 SUID 位，ls 命令显示如下：

-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 file

任何用户都可以执行这个程序。UNIX 的内核是根据什么来确定一个进程对资源的访问权限的呢？是这个进程的运行用户的（有效）ID，包括 user id 和 group id。用户可以用 id 命令来查到自己的或其他用户的 user id 和 group id。

除了一般的 user id 和 group id 外，还有两个称之为 effective 的 id，就是有效 id，上面的四个 id 表示为：uid，gid，euid，egid。内核主要是根据 euid 和 egid 来确定进程对资源的访问权限。一个进程如果没有 SUID 或 SGID 位，则 euid=uid egid=gid，分别是运行这个程序的用户的 uid 和 gid。例如 kevin 用户的 uid 和 gid 分别为 204 和 202，foo 用户的 uid 和 gid 分别为 200 和 201，kevin 运行 myfile 程序形成的进程的 euid=uid=204，egid=gid=202，内核根据这些值来判断进程对资源访问的限制，其实就是 kevin 用户对资源访问的权限，和 foo 没关系。

如果一个程序设置了 SUID，则 euid 和 egid 变成被运行的程序的所有者的 uid 和 gid，例如 kevin 用户运行 myfile，euid=200，egid=201，uid=204，gid=202，则这个进程具有它的属主 foo 的资源访问权限。

SUID 的作用就是这样：让本来没有相应权限的用户运行这个程序时，可以访问他没有权限访问的资源。passwd 就是一个很鲜明的例子。

SUID 的优先级比 SGID 高，当一个可执行程序设置了 SUID，则 SGID 会自动变成相应的 egid。

下面讨论一个例子：

UNIX 系统有一个 /dev/kmem 的设备文件，是一个字符设备文件，里面存储了核心程序要访问的数据，包括用户的口令。所以这个文件不能给一般的用户读写，权限设为：

cr--r----- 1 root system 2, 1 May 25 1998 kmem

但 ps 等程序要读这个文件，而 ps 的权限设置如下：

-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps

这是一个设置了 SGID 的程序，而 ps 的用户是 bin，不是 root，所以不能设置 SUID 来访问 kmem，但大家注意了，bin 和 root 都属于 system 组，而且 ps 设置了 SGID，一般用户执行 ps，就会获得 system 组用户的权限，而文件 kmem 的同组用户的权限是可读，所以一般用户执行 ps 就没问题了。但有些人说，为什么不把 ps 程序设置为 root 用户的程序，然后设置 SUID 位，不也行吗？这的确可以解决问题，但实际中为什么不这样做呢？因为 SGID 的风险比 SUID 小得多，所以出于系统安全的考虑，应该尽量用 SGID 代替 SUID 的程序，如果可能的话。下面来说明一下 SGID 对目录的影响。SUID 对目录没有影响。如果一个目录设置了 SGID 位，那么如果任何一个用户对这个目录有写权限的话，他在这个目录所建立的文件的组都会自动转为这个目录的属主所在的组，而文件所有者不变，还是属于建立这个文件的用户。

三. 关于 SUID 和 SGID 的编程

和 SUID 和 SGID 编程比较密切相关的有以下的头文件和函数：

#include

uid_t getuid(void);

uid_t geteuid(void);

gid_t getgid (void);

gid_t getegid (void);

int setuid (uid_t UID);

int setruid (uid_t RUID);

int seteuid (uid_t EUID);

int setreuid (uid_t RUID,uid_t EUID);

int setgid (gid_t GID);

int setrgid (gid_t RGID);

int setegid (git_t EGID);

int setregid (gid_t RGID, gid_t EGID);

具体这些函数的说明在这里就不详细列出来了,要用到的可以用 man 查。

SUID/SGID :

假如你有文件a.txt

#ls -l a.txt

-rwxrwxrwx

#chmod 4777 a.txt

-rwsrwxrwx ======>注意s位置

#chmod 2777 a.txt

-rwxrwsrwx ======>注意s位置

#chmod 7777 a.txt

-rwsrwxswt ======>出现了t,t的作用在内存中尽量保存a.txt,节省系统再加载的时间.

现在再看前面设置 SUID/SGID作用:

#cd /sbin

#./lsusb

...

#su aaa(普通用户)

$./lsusb

...

是不是现在显示出错？

$su

#chmod 4755 lsusb

#su aaa

$./lsusb

... 现在明白了吗？本来是只有root用户才能执行的命令，加了SUID后,普通用户就可以像root一样的用，权限提升了。上面是对于文件来说的，对于目录也差不多！

目录的S属性使得在该目录下创建的任何文件及子目录属于该目录所拥有的组，目录的T属性使得该目录的所有者及root才能删除该目录。还有对于s与S，设置SUID/SGID需要有运行权限，否则用ls -l后就会看到S,证明你所设置的SUID/SGID没有起作用。

Why we need suid,how do we use suid?

r -- 读访问

w -- 写访问

x -- 执行许可

s -- SUID/SGID

t -- sticky位

那么 suid/sgid 是做什么的？为什么会有 suid 位呢？

要想明白这个，先让我们看个问题：如果让每个用户更改自己的密码？

用户修改密码，是通过运行命令 passwd 来实现的。最终必须要修改 /etc/passwd 文件，而 passwd 的文件的属性是：

#ls -l /etc/passwd

-rw-r--r-- 1 root root 2520 Jul 12 18:25 passwd

我们可以看到 passwd 文件只有对于 root 用户是可写的，而对于所有的他用户来说都是没有写权限的。那么一个普通的用户如何能够通过运行 passwd 命令修改这个 passwd 文件呢？

为了解决这个问题，SUID/SGID 便应运而生。而且 AT&T 对它申请了专利。呵呵。

SUID 和 SGID 是如何解决这个问题呢？

首先，我们要知道一点：进程在运行的时候，有一些属性，其中包括实际用户ID,实际组ID,有效用户ID,有效组ID等。实际用户ID和实际组ID标识我们是谁，谁在运行这个程序,一般这2个字段在登陆时决定，在一个登陆会话期间，这些值基本上不改变。

而有效用户ID和有效组ID则决定了进程在运行时的权限。内核在决定进程是否有文件存取权限时，是采用了进程的有效用户ID来进行判断的。

知道了这点，我们来看看SUID的解决途径：

当一个程序设置了为SUID位时，内核就知道了运行这个程序的时候，应该认为是文件的所有者在运行这个程序。即该程序运行的时候，有效用户ID是该程序的所有者。举个例子：

[root@sgrid5 bin]# ls -l passwd

-r-s--s--x 1 root root 16336 Feb 14 2003 passwd

虽然你以test登陆系统，但是当你输入passwd命令来更改密码的时候，由于passwd设置了SUID位，因此虽然进程的实际用户ID是test对应的ID，但是进程的有效用户ID则是passwd文件的所有者root的ID,因此可以修改/etc/passwd文件。

让我们看另外一个例子。

ping命令应用广泛，可以测试网络是否连接正常。ping在运行中是采用了ICMP协议，需要发送ICMP报文。但是只有root用户才能建立ICMP报文，如何解决这个问题呢？同样，也是通过SUID位来解决。

[root@sgrid5 bin]# ls -l /bin/ping

-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping

我们可以测试一下，如果去掉ping的SUID位，再用普通用户去运行命令，看会怎么样。

[root@sgrid5 bin]#chmod u-s /bin/ping

[root@sgrid5 bin]# ls -l ping

-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping

[root@sgrid5 bin]#su test

[test@sgrid5 bin]$ ping byhh.net

ping: icmp open socket: Operation not permitted

SUID 虽然很好了解决了一些问题，但是同时也会带来一些安全隐患。

因为设置了 SUID 位的程序如果被攻击(通过缓冲区溢出等方面),那么 hacker 就可以拿到 root 权限。

因此在安全方面特别要注意那些设置了 SUID 的程序。

通过以下的命令可以找到系统上所有的设置了 suid 的文件：

[root@sgrid5 /]# find / -perm -04000 -type f -ls

对于这里为什么是 4000，大家可以看一下前面的 st_mode 的各 bit 的意义就明白了。

在这些设置了 suid 的程序里，如果用不上的，就最好取消该程序的 suid 位。

当您最初登录时，将启动一个新的 shell 进程。您已经知道，但是您可能还不知道这个新的 shell

 进程（通常是 bash）使用您的用户标识运行。照这样，bash 程序可以访问所有属于您的文件和

目录。事实上，作为用户，我们完全依靠其它程序来代表我们执行操作。因为您启动的程序继承了

您的用户标识，因此它们不能访问任何不允许您访问的文件系统对象。

例如，一般用户不能直接修改 passwd 文件，因为“write”标志已经对除“root 用户”以外的每个用户关闭：$ ls -l /etc/passwd
                        -rw-r--r--    1 root     wheel        1355 Nov  1 21:16 /etc/passwd
                        但是，一般用户确实需要在他们需要改变其密码的任何时候，能够修改 /etc/passwd（至少间接地）。但是，如果用户不能修改该文件，究竟怎样完成这个工作呢？
                        Suid
                        幸好，Linux 权限模型有两个专门的位，叫做“suid”和“sgid”。当设置了一个可执行程序的“suid”这一位时，它将代表可执行文件的所有者运行，而不是代表启动程序的人运行。现在，回到 /etc/passwd 问题。如果看一看 passwd 可执行文件，我们可以看到它属于 root 用户：
                        $ ls -l /usr/bin/passwd
                        -rwsr-xr-x    1 root     wheel       17588 Sep 24 00:53 /usr/bin/passwd
                        您还将注意到，这里有一个 s 取替了用户权限三元组中的一个 x。这表明，对于这个特殊程序，设置了 suid 和可执行位。由于这个原因，当 passwd 运行时，它将代表 root 用户执行（具有完全超级用户访问权），而不是代表运行它的用户运行。又因为 passwd 以 root 用户访问权运行，所以能够修改 /etc/passwd 文件，而没有什么问题。
                        suid/sgid 告诫说明
                        我们看到了 suid 怎样工作，sgid 以同样的方式工作。它允许程序继承程序的组所有权，而不是当前用户的程序所有权。这里有一些关于 suid 和 sgid 的其它的但是很重要的信息。首先，suid 和 sgid 占据与 ls -l 清单中 x 位相同的空间。如果还设置了 x 位，则相应的位表示为 s（小写）。但是，如果没有设置 x 位，它将表示为 S（大写）。另一个很重要的提示：在许多环境中，suid 和 suid 很管用，但是不恰当地使用这些位可能使系统的安全遭到破坏。最好尽可能地少用“suid”程序。passwd 命令是为数不多的必须使用“suid”的命令之一。 
                        改变 suid 和 sgid
                        设置和除去 suid 与 sgid 位相当简单。这里，我们设置 suid 位：
                        # chmod u+s /usr/bin/myapp
                        此处，我们从一个目录除去 sgid 位。我们将看到 sgid 位怎样影响下面几屏中的目录：# chmod g-s /home/drobbins
                        权限和目
到此为止，我们从常规文件的角度来看权限。当从目录的角度看权限时，情况有一点不同。目录使用同样的权限标志，但是它们被解释为表示略微不同的含义。 对于一个目录，如果设置了“read”标志，您可以列出目录的内容；“write”表示您可以在目录中创建文件，“execute”表示您可以进入该目录并访问内部的任何子目录。没有“execute”标志，目录内的文件系统对象是不可访问的。没有“read”标志，目录内的文件系统对象是不可查看的，但是只要有人知道磁盘上对象的完整路径，就仍然可以访问目录内的对象。
目录和 sgid
如果启用了目录的“sgid”标志，在目录内创建的任何文件系统对象将继承目录的组。当您需要创建一个属于同一组的一组人使用的目录树时，这种特殊的功能很管用。只需要这样做： 
# mkdir /home/groupspace
                        # chgrp mygroup /home/groupspace
                        # chmod g+s /home/groupspace
                        现在，mygroup 组中的所有用户都可以在 /home/groupspace 内创建文件或目录，同样，他
们也将自动地分配到 mygroup 的组所有权。根据用户的 umask 设置，新文件系统对象对于 
mygroup 组的其他成员来说，可以或不可以是可读、可写或可执行的。
目录和删除
缺省情况下，Linux 目录以一种不是在所有情况下都很理想的方式表现。一般来说，只要对一个
目录有写访问权，任何人都可以重命名或删除该目录中的文件。对于个别用户使用的目录，这种行
为是很合理的。
但是，对于很多用户使用的目录来说，尤其是 /tmp 和 /var/tmp，这种行为可能会产生麻烦。
因为任何人都可以写这些目录，任何人都可以删除或重命名任何其他人的文件 — 即使是不属于
他们的！显然，当任何其他用户在任何时候都可以输入“rm -rf /tmp/*”并损坏每个人的文
件时，很难把 /tmp 用于任何有意义的文件。
所幸，Linux 有叫做“粘滞位”（sticky bit）的东西。当给 /tmp 设置了粘滞位（用 
chmod +t），唯一能够删除或重命名 /tmp 中文件的是该目录的所有者（通常是 root 用户）
、文件的所有者或 root 用户。事实上，所有 Linux 分发包都缺省地启用了 /tmp 的粘滞位，
而您还可以发现粘滞位在其它情况下也很管用。
难以理解的第一位
总结本章，我们最后来看一看数字模式的难以理解的第一位数。您可以看到，这个第一位数
用来设置 sticky、suid 和 sgid 位： 
suidsgidsticky模式数字ononon7ononoff6onoffon5onoffoff4offonon3offonoff2offoffon1offoffoff0                        这里有一个怎样用 4 位数字模式来设置一个目录的权限的示例，该目录将由一个工作组使用： 
# chmod 1775 /home/groupfiles
请想一想 1755 数字模式权限设置的含义。