SUID和SGID是linux中提升程序运行权限的特殊位,SUID使程序以文件所有者身份运行,常用于passwd等需root权限的命令;SGID作用于文件时以所属组身份运行,作用于目录时新文件自动继承目录组,适用于共享协作;通过chmod 4755或u+s设置SUID,chmod 2755或g+s设置SGID,使用find / -perm -4000 -o -perm -2000定期审计,避免滥用导致安全风险。
在linux系统中,SUID(Set User ID)和SGID(Set Group ID)是特殊的权限位,能够改变程序运行时的用户或组身份。它们主要用于提升执行程序时的权限,以便完成某些需要更高权限的操作。虽然功能强大,但如果使用不当,可能带来安全风险。
SUID 权限说明与设置
SUID权限允许用户在执行某个文件时,临时以该文件所有者的身份运行。通常用于普通用户需要执行涉及特权操作的命令。
例如,passwd 命令修改 /etc/shadow 文件,而该文件仅 root 可写。但普通用户也能更改自己的密码,这是因为 passwd 程序设置了 SUID 位,使其以 root 身份运行。
查看SUID权限:在ls -l输出中,SUID表现为属主权限的x位显示为’s’或’S’。
设置SUID:
- 用数字方式:chmod 4755 filename(4代表SUID)
- 用符号方式:chmod u+s filename
取消SUID:chmod u-s filename
SGID 权限说明与设置
SGID有两种应用场景:作用于文件和作用于目录。
当作用于可执行文件时,SGID使程序在执行时以文件所属组的身份运行。适用于需要访问特定组资源的场景。
当作用于目录时,新创建的文件会自动继承目录的所属组,便于团队协作。
查看SGID权限:属组权限的x位显示为’s’或’S’。
设置SGID:
- 文件或目录:chmod 2755 dirname(2代表SGID)
- 符号方式:chmod g+s dirname
取消SGID:chmod g-s dirname
典型应用场景
SUID常见用途:
- 系统命令如 passwd、sudo、chsh 等,需临时获取 root 权限
- 定制脚本或工具,允许普通用户执行特定管理员任务
SGID常见用途:
- 共享目录中保持组一致性,比如开发团队共用的工作目录
- 服务程序以特定组身份访问受保护资源
安全注意事项
SUID和SGID虽实用,但应谨慎使用。
潜在风险:
- 恶意程序利用SUID提权,获取高权限shell
- 脚本设置SUID无效(Linux不支持SUID脚本),易造成误解
- 过度使用导致权限混乱,增加攻击面
最佳实践:
- 只对必要程序设置SUID/SGID
- 定期审计系统中的特殊权限文件:find / -perm -4000 -o -perm -2000
- 确保程序本身无漏洞,避免被注入或滥用
基本上就这些。SUID和SGID是Linux权限体系中的高级特性,理解其机制和风险,才能安全有效地使用。