深入理解 Linux 文件特殊权限：SUID、SGID 和 SBIT 的设置与实践

目录#

1. 特殊权限概述
2. SUID（Set User ID）
   • 2.1 工作原理
   • 2.2 设置方法
   • 2.3 常见示例
   • 2.4 安全实践与风险
3. SGID（Set Group ID）
   • 3.1 对文件的作用
   • 3.2 对目录的作用
   • 3.3 设置方法
   • 3.4 常见示例
4. SBIT（Sticky Bit）
   • 4.1 工作原理
   • 4.2 设置方法
   • 4.3 常见示例
5. 权限的数值表示法与总结
6. 最佳实践总结
7. 结论
8. 参考

一、特殊权限概述#

这三种特殊权限通过占用原本「执行（x）」权限的位置来显示。当它们被设置在一个有可执行权限的文件上时，小写的 x 会变成特殊字符；如果文件本身没有可执行权限，则会显示为大写字符，表示特殊权限已设置但文件不可执行。

二、SUID（Set User ID）#

2.1 工作原理#

当为一个可执行文件设置 SUID 权限后，任何用户在执行该文件时，其有效用户 ID（Effective User ID）将在程序运行期间临时被设置为该文件的所有者 ID。通俗地讲，就是执行这个命令的用户会「变身」成文件的主人。

2.2 设置方法#

• 符号法： chmod u+s filename
• 数值法： 在普通权限前加 4。例如，chmod 4755 filename 等同于 -rwsr-xr-x。

查看示例： 让我们查看 /usr/bin/passwd 命令，这是 SUID 最经典的例子。

ls -l /usr/bin/passwd

输出结果类似：

-rwsr-xr-x. 1 root root 33544 Dec 13  2021 /usr/bin/passwd

注意所有者权限中的 x 被替换成了 s，这表示 SUID 权限已设置。

2.3 常见示例#

• /usr/bin/passwd： 普通用户需要修改 /etc/shadow 文件（该文件仅 root 可写）。passwd 命令具有 SUID 权限且所有者是 root，因此用户执行它时，会临时获得 root 权限，从而可以安全地更新 /etc/shadow。
• /usr/bin/sudo： 同样具有 SUID 位，允许授权用户以 root 身份执行命令。
• /usr/bin/pkexec： 用于在特权环境下执行命令。

2.4 安全实践与风险#

SUID 权限非常强大，但也极其危险。 如果为一个有漏洞的程序或脚本设置 SUID，攻击者可能利用它来提升权限。

最佳实践：

1. 最小化原则： 绝对不要随意设置 SUID。系统必需的 SUID 命令（如 passwd）已经过严格审计。除非你非常清楚后果，否则不要创建新的 SUID 文件。
2. 避免对脚本设置 SUID： 由于脚本的安全问题难以控制，大多数系统会忽略脚本的 SUID 位。如果需要类似功能，应使用编译型语言编写程序，并谨慎设置 SUID。
3. 定期审计： 使用命令 find / -perm -4000 -type f 2>/dev/null 查找系统中所有带 SUID 权限的文件，检查是否有可疑程序。

三、SGID（Set Group ID）#

SGID 的行为根据其作用对象（文件或目录）而有所不同。

3.1 对文件的作用#

与 SUID 类似，但当为一个可执行文件设置 SGID 后，任何用户在执行该文件时，其有效组 ID（Effective Group ID）将被临时设置为该文件的所属组 ID。

3.2 对目录的作用#

这是 SGID 更常见的用法。当为一个目录设置 SGID 后，任何用户在该目录下创建的新文件或子目录，其所属组将自动继承该目录的所属组，而不是创建者默认的主要组（Primary Group）。

3.3 设置方法#

• 符号法： chmod g+s directory_name 或 chmod g+s filename
• 数值法： 在普通权限前加 2。例如，chmod 2750 directory_name 等同于 drwxr-s---。

3.4 常见示例#

• 协作目录： 假设有一个项目组 project-alpha，目录 /shared/project-alpha 设置为 SGID。

  # 创建目录并设置权限
  sudo mkdir -p /shared/project-alpha
  sudo chgrp project-alpha /shared/project-alpha
  sudo chmod 2770 /shared/project-alpha  # 设置 SGID
   
  # 查看结果
  ls -ld /shared/project-alpha
  # 输出: drwxrws--- 2 root project-alpha 4096 Jun 10 15:30 /shared/project-alpha

  现在，无论是组内哪个用户（如 alice 或 bob）在此目录下创建文件，该文件的所属组都是 project-alpha，确保了组内成员都能正常读写。
• /usr/bin/crontab： 这个命令文件通常具有 SGID，属于 crontab 组，以便管理用户的 cron job。

四、SBIT（Sticky Bit）#

4.1 工作原理#

SBIT 仅对目录有效。当一个目录设置了 SBIT 权限后，该目录下的文件或子目录只能由其所有者、目录所有者或 root 用户删除或重命名。其他用户即使对该目录有写权限（w），也不能删除或重命名非自己拥有的文件。

4.2 设置方法#

• 符号法： chmod o+t directory_name
• 数值法： 在普通权限前加 1。例如，chmod 1777 /tmp 等同于 drwxrwxrwt。

4.3 常见示例#

• /tmp 目录： 这是最典型的例子。所有用户都需要在 /tmp 中创建临时文件，但绝不能允许用户随意删除他人的文件。

  ls -ld /tmp
  # 输出: drwxrwxrwt 15 root root 4096 Jun 10 15:35 /tmp

  注意其他用户权限中的 x 被替换成了 t。
• /var/tmp： 通常也设置了 SBIT。

五、权限的数值表示法与总结#

我们已经知道基本权限用 3 位数字表示（如 755）。特殊权限作为前置的第四位数字。

可以组合使用：

• 设置 SUID + SGID： 4 + 2 = 6 -> chmod 6755 file
• 设置 SGID + SBIT： 2 + 1 = 3 -> chmod 3777 directory

总结表：

六、最佳实践总结#

1. 审慎使用 SUID： 这是最大的安全风险点。除非绝对必要且代码绝对安全，否则避免设置 SUID。优先考虑其他方案，如 sudo 授权。
2. 善用 SGID 于目录： 对于需要团队协作的共享目录，SGID 是确保文件组权限一致性的优秀工具。
3. 为公共可写目录设置 SBIT： 任何允许多个用户创建文件的目录（如 /tmp）都必须设置 SBIT，以防止恶意或误删。
4. 定期审查： 使用 find 命令定期检查特殊权限文件。

   # 查找 SUID 文件
   find / -path /proc -prune -o -type f -perm -4000 -ls 2>/dev/null
    
   # 查找 SGID 文件
   find / -path /proc -prune -o -type f -perm -2000 -ls 2>/dev/null
    
   # 查找 SBIT 目录（世界可写且带 sticky bit）
   find / -path /proc -prune -o -type d -perm -1000 -perm -0002 -ls 2>/dev/null

5. 清晰的权限规划： 在设置特殊权限前，规划好文件的所有者、所属组和基本权限，确保整个权限体系清晰、安全。

七、结论#

Linux 的特殊权限（SUID、SGID、SBIT）是对基本权限系统的有力补充，解决了特定场景下的权限管理难题。理解它们的工作原理和适用场景，是系统管理员和高级用户必备的技能。牢记「能力越大，责任越大」的原则，特别是对于 SUID 权限，始终保持警惕，遵循安全最佳实践，才能构建出既灵活又安全的 Linux 系统环境。

八、参考#

1. man 1 chmod - Linux 手册页，详细说明了权限的符号法和数值法。
2. man 7 inode - 描述了文件 inode 中的权限位。
3. Linux Filesystem Hierarchy: /tmp and /var/tmp specifications.
4. Linux Documentation Project - 提供了大量关于 Linux 权限和系统管理的深入指南。