setuid 权限允许程序以文件拥有者身份运行,如 passwd 命令可让普通用户修改 /etc/shadow 文件,设置方式为 4xxx 或 chmod u+s;setgid 对文件以所属组身份运行,对目录使新文件继承组属性,便于团队协作,设置方式为 2xxx 或 chmod g+s;sticky bit 用于目录,防止他人删除自己文件,常用于 /tmp,设置方式为 1xxx 或 chmod +t。
在Linux系统中,除了常见的读(r)、写(w)、执行(x)权限之外,还有三种特殊权限:setuid、setgid 和 sticky bit。它们可以用于特定场景下增强安全性或实现某些功能控制。
什么是 setuid 权限?
setuid(Set User ID)可以让一个可执行文件在运行时临时以文件拥有者的身份来执行,而不是执行者自己的身份。
举个例子,普通用户执行
passwd命令修改密码时,其实是在修改
/etc/shadow文件,而这个文件只有 root 才有写权限。为什么普通用户能改密码?因为
passwd程序设置了 setuid 权限,让它以 root 身份运行。
设置方式:
- 数字表示法:4xxx(比如 4755)
- 符号表示法:
chmod u+s filename
⚠️ 注意:滥用 setuid 权限可能会带来安全风险。例如,如果某个 shell 脚本被设置了 setuid root,就可能被攻击者利用提权。
setgid 权限有什么用?
setgid(Set Group ID)有两个主要用途:
- 对文件:类似于 setuid,但它是以文件所属组的身份运行程序。
- 对目录:新创建的文件会继承该目录的所属组,而不是创建者的主组。
比如在一个团队协作目录中,多个用户属于同一个组,设置 setgid 后,无论谁在里面新建文件,文件的组都会自动设为目录的组,方便权限统一管理。
设置方式:
- 数字表示法:2xxx(比如 2755)
- 符号表示法:
chmod g+s filename_or_directory
这个特性常用于共享工作目录,确保所有成员创建的文件都归属于同一组,避免权限混乱。
sticky bit 是什么?为什么有用?
sticky bit 最初用于“粘滞”进程,防止内存交换,在现代 Linux 中它只对目录起作用。一旦设置了 sticky bit 的目录,每个用户只能删除或重命名自己拥有的文件,即使目录是全局可写的。
典型应用就是
/tmp目录。所有人都可以在里面创建临时文件,但不能随意删除别人的文件。
设置方式:
- 数字表示法:1xxx(比如 1777)
- 符号表示法:
chmod +t directory
比如:
chmod 1777 /shared_dir
这样所有人都能在
/shared_dir下写文件,但只能操作自己的内容。
如何查看和设置这些特殊权限?
查看权限时,特殊权限位会显示在常规权限前面:
-rwsr-xr-x
表示设置了 setuid-rwxr-sr-x
表示设置了 setgid-rwxr-xr-t
表示设置了 sticky bit
使用
ls -l即可看到这些标志。
设置命令示例:
chmod 4755 program
设置 setuidchmod 2770 shared_dir
设置 setgid 并限制写入chmod 1777 /tmp
设置 sticky bit
基本上就这些。理解这三种特殊权限的用途和设置方法,可以帮助你更好地管理 Linux 系统中的权限与安全问题。虽然不复杂,但在实际运维中很容易忽略它们的作用。
