关于UNIX和Linux系统下SUID、SGID的解析

会计考友

如果你对SUID、SGID仍有迷惑可以好好参考一下！

Copyright by kevintz.

& K* H+ i- X3 O) B8 }由于用户在UNIX下经常会遇到SUID、SGID的概念，而且SUID和SGID涉及到系统安全，所以用户也比较关心这个问题。关于SUID、SGID的问题也经常有人提问，但回答的人一般答得不够详细，加上曾经回答过两个网友的问题，还查了一些资料，决定整理成本文，以供大家参考。限于本人的水平问题，文章中如果有不当之处，请广大网友指正。
' |3 }4 e: |7 o/ s0 B: O$ Z; l
" J& ]4 f% X0 o: _! T7 O) u% K: K一、UNIX下关于文件权限的表示方法和解析
" y9 y2 h6 h  |# l7 v: w
8 k: e& L& `+ Z: S& k% V3 TSUID 是 Set User ID, SGID 是 Set Group ID的意思。
: g, o! e' {; l
: Y% W6 y( Q9 P, ^" l# ^: wUNIX下可以用ls -l 命令来看到文件的权限。用ls命令所得到的表示法的格式是类似这样的：-rwxr-xr-x 。下面解析一下格式所表示的意思。这种表示方法一共有十位：
3 d4 M8 ]6 f3 V9 r
) ?- e1 E; I  A8 |3 x$ g9 8 7 6 5 4 3 2 1 0
& Q6 ?* `# _- `, w- r w x r - x r - x
6 w; \5 ]; p2 D8 r第9位表示文件类型,可以为p、d、l、s、c、b和-：
1 Z  m' {( c) ^$ ?$ u. O- W* k: Q4 Lp表示命名管道文件
d表示目录文件
l表示符号连接文件
-表示普通文件
/ I) ?0 |1 q5 _( n  _  A2 Xs表示socket文件
  f4 x: I2 g2 D6 mc表示字符设备文件
b表示块设备文件
* P3 m# {0 o+ u% Z0 p
. f0 |  i3 x" d% ]0 [( L第8-6位、5-3位、2-0位分别表示文件所有者的权限，同组用户的权限，其他用户的权限，其形式为rwx：
; |  D" g9 R/ ?0 l* o+ w
r表示可读，可以读出文件的内容
0 E3 ^7 m) m; I# |3 qw表示可写，可以修改文件的内容
$ K) k) G  H  _x表示可执行，可运行这个程序
没有权限的位置用-表示
6 J$ U# ?0 B. P6 z  r# l1 O例子：
& Z1 z" B1 o; ^5 Sls -l myfile显示为：
-rwxr-x--- 1 foo staff 7734 Apr 05 17:07 myfile
4 r* R+ {% N+ @8 [! U; L( g3 t
) _: y! F/ _/ o: u! L1 j1 z% A& E4 E表示文件myfile是普通文件，文件的所有者是foo用户，而foo用户属于staff组，文件只有1个硬连接，长度是7734个字节，最后修改时间4月5日17:07。
9 m8 X5 Z' W+ F* f
所有者foo对文件有读写执行权限，staff组的成员对文件有读和执行权限，其他的用户对这个文件没有权限。

/ E6 w% v6 k& R) R如果一个文件被设置了SUID或SGID位，会分别表现在所有者或同组用户的权限的可执行位上。例如：
! ^2 d/ ~8 k/ V# G1、-rwsr-xr-x 表示SUID和所有者权限中可执行位被设置

2、-rwSr--r-- 表示SUID被设置，但所有者权限中可执行位没有被设置

! V* M* E2 I9 w- y& g% G' j4 |3、-rwxr-sr-x 表示SGID和同组用户权限中可执行位被设置
, t) V$ m# U9 p- q5 ~" e7 l. D4、-rw-r-Sr-- 表示SGID被设置，但同组用户权限中可执行位没有被社
& o* ?0 m! K9 e, B2 z# ?# ^
- S  m2 y& Q5 A! S其实在UNIX的实现中，文件权限用12个二进制位表示，如果该位置上的值是
' G# _' n1 @1 z9 M/ b/ g7 E4 S7 k/ t
1，表示有相应的权限：
. I. V$ q5 W# r( t* f/ q11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x
第11位为SUID位，第10位为SGID位，第9位为sticky位，第8-0位对应于上面的三组rwx位。
! i3 z1 b# v2 V7 ~11 10 9 8 7 6 5 4 3 2 1 0
上面的-rwsr-xr-x的值为： 1 0 0 1 1 1 1 0 1 1 0 1
) u9 s! Y, S) t# p0 k6 Z" f1 r, r-rw-r-Sr--的值为： 0 1 0 1 1 0 1 0 0 1 0 0

给文件加SUID和SUID的命令如下：
chmod u+s filename 设置SUID位
' Z. |2 [  o$ ]8 Qchmod u-s filename 去掉SUID设置
& j. T( k/ L5 n9 O) ]chmod g+s filename 设置SGID位
chmod g-s filename 去掉SGID设置
另外一种方法是chmod命令用八进制表示方法的设置。如果明白了前面的12位权限表示法也很简单。

$ f' m% A' d2 j  L* g二、SUID和SGID的详细解析
$ p. l3 g' k, {5 Q
由于SUID和SGID是在执行程序（程序的可执行位被设置）时起作用，而可执行位只对普通文件和目录文件有意义，所以设置其他种类文件的SUID和SGID位是没有多大意义的。
首先讲普通文件的SUID和SGID的作用。例子：
2 B; Q6 ]. Q2 O如果普通文件myfile是属于foo用户的，是可执行的，现在没设SUID位，ls命令显示如下：
6 a- ?7 J3 B7 X0 `9 A3 g5 ?-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile任何用户都可以执行这个程序。UNIX的内核是根据什么来确定一个进程对资源的访问权限的呢？是这个进程的运行用户的（有效）ID，包括user id和group id。用户可以用id命令来查到自己的或其他用户的user id和group id。
1 g7 N. ?1 s4 b: e除了一般的user id 和group id外，还有两个称之为effective 的id，就是有效id，上面的四个id表示为：uid，gid，euid，egid。内核主要是根据euid和egid来确定进程对资源的访问权限。
一个进程如果没有SUID或SGID位，则euid=uid egid=gid，分别是运行这个程序的用户的uid和gid。例如kevin用户的uid和gid分别为204和202，foo用户的uid和gid为200，201，kevin运行myfile程序形成的进程的euid=uid=204，egid=gid=202，内核根据这些值来判断进程对资源访问的限制，其实就是kevin用户对资源访问的权限，和foo没关系。
! Z+ _( m! W9 E" X% p0 U, X+ N如果一个程序设置了SUID，则euid和egid变成被运行的程序的所有者的uid和gid，例如kevin用户运行myfile，euid=200，egid=201，uid=204，gid=202，则这个进程具有它的属主foo的资源访问权限。
- r* \% y# L3 b% R; wSUID的作用就是这样：让本来没有相应权限的用户运行这个程序时，可以访问他没有权限访问的资源。passwd就是一个很鲜明的例子。
SUID的优先级比SGID高，当一个可执行程序设置了SUID，则SGID会自动变成相应的egid。
下面讨论一个例子：
6 B- K- r2 F; Q- }$ U3 Q3 L, fUNIX系统有一个/dev/kmem的设备文件，是一个字符设备文件，里面存储了核心程序要访问的数据，包括用户的口令。所以这个文件不能给一般的用户读写，权限设为：cr--r----- 1 root system 2, 1 May 25 1998 kmem
但ps等程序要读这个文件，而ps的权限设置如下：
/ d' ^1 _  ~2 @( E1 N2 W-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps 这是一个设置了SGID的程序，而ps的用户是bin，不是root，所以不能设置SUID来访问kmem，但大家注意了，bin和root都属于system组，而且ps设置了SGID，一般用户执行ps，就会获得system组用户的权限，而文件kmem的同组用户的权限是可读，所以一般用户执行ps就没问题了。但有些人说，为什么不把ps程序设置为root用户的程序，然后设置SUID位，不也行吗？这的确可以解决问题，但实际中为什么不这样做呢？因为SGID的风险比SUID小得多，所以出于系统安全的考虑，应该尽量用SGID代替SUID的程序，如果可能的话。下面来说明一下SGID对目录的影响。SUID对目录没有影响。如果一个目录设置了SGID位，那么如果任何一个用户对这个目录有写权限的话，他在这个目录所建立的文件的组都会自动转为这个目录的属主所在的组，而文件所有者不变，还是属于建立这个文件的用户。

/ m' b! Z: U  N! b6 d  p# @三、关于SUID和SGID的编程
5 s7 h& m  \) o$ z6 P! r% O
) h5 Q2 l, Z0 F0 F  W) D7 B9 L和SUID和SGID编程比较密切相关的有以下的头文件和函数：

5 o0 t  B0 E$ r#include
#include
& p* O* m4 c% r, i
% F/ c* Y( y, z2 Quid_t getuid(void);

" ^+ `: x+ o& h/ p1 H6 juid_t geteuid(void);
4 g& ~/ {1 E+ A
5 y. {) ]& x' F* A9 Z6 O- q) |gid_t getgid (void);

  x- E- y! q4 @' Ogid_t getegid (void);

1 Z2 r3 T" \. L  j+ E6 _8 v; b* Aint setuid (uid_t UID);
2 z2 W' `. E0 B
int setruid (uid_t RUID);

int seteuid (uid_t EUID);

1 z. t, p' z; N  tint setreuid (uid_t RUID,uid_t EUID);
6 ^. x' }% _8 Q5 X- L" C& S
$ j4 \! }  x8 O! M& H, iint setgid (gid_t GID);

int setrgid (gid_t RGID);
" Q- M9 g$ q' n# c, V6 M
int setegid (git_t EGID);

int setregid (gid_t RGID, gid_t EGID);

具体这些函数的说明在这里就不详细列出来了,要用到的可以用man查。
* F' c6 V) `( A& `
8 w1 G+ b! }4 i4 j
# @/ m! Q  J+ E; U( {9 DSUID/SGID :
  t1 T$ Z2 T% i5 }假如你有文件a.txt
#ls -l a.txt
-rwxrwxrwx
- D4 W5 a! ]6 r#chmod 4777 a.txt
  s( X" C: {/ Q  i-rwsrwxrwx ======>注意s位置
#chmod 2777 a.txt
-rwxrwsrwx ======>注意s位置
#chmod 7777 a.txt
2 `0 z; M) o0 m( j; j-rwsrwxswt ======>出现了t,t的作用在内存中尽量保存a.txt,节省系统再加载的时间.

  X' m' d1 d# ^& M现在再看前面设置 SUID/SGID作用:
#cd /sbin
& }) B" a5 U8 m. W1 }" b" t#./lsusb
...
#su aaa(普通用户)
' ]$ Z9 ]& B4 B% @: c  p3 g/ ~0 d$./lsusb
...
6 e3 s. y9 \8 E8 ^5 p! }是不是现在显示出错？
5 j% m6 c8 n7 t2 A) a5 o$su
#chmod 4755 lsusb
+ V) N: S1 n1 q5 e; h#su aaa
$./lsusb
... 现在明白了吗？本来是只有root用户才能执行的命令，加了SUID后,普通用户就可以像root一样的用，权限提升了。上面是对于文件来说的，对于目录也差不多！

目录的S属性使得在该目录下创建的任何文件及子目录属于该目录所拥有的组，目录的T属性使得该目录的所有者及root才能删除该目录。还有对于s与S，设置SUID/SGID需要有运行权限，否则用ls -l后就会看到S,证明你所设置的SUID/SGID没有起作用。
0 {. j. ?& I; O" C2 L
$ l+ r& }6 d) v8 ]Why we need suid,how do we use suid?

( K. F3 v9 X; j2 E/ Dr -- 读访问

1 Y; F- O3 `) i: c5 s3 Q) {　　 w -- 写访问
# z8 X& \/ K) X: X
　　 x -- 执行许可

7 Z4 s' H0 i4 t# C$ \- Q" m　　 s -- SUID/SGID

/ I- T5 }! O4 \' g3 _) S# G7 C3 B3 S　　 t -- sticky位
* y6 [6 |/ l3 V/ i) L6 {% M
9 J$ }3 a) {( E那么 suid/sgid是做什么的？ 为什么会有suid位呢？
! q9 j4 D3 {* H# z* D7 i" s8 Z7 A
5 ~+ C  g; b* }) v. _- M% ^7 r要想明白这个，先让我们看个问题：如果让每个用户更改自己的密码？

用户修改密码，是通过运行命令passwd来实现的。最终必须要修改/etc/passwd文件，而passwd的文件的属性是：
' N3 Z0 l& Q4 [
#ls -l /etc/passwd

-rw-r--r-- 1 root root 2520 Jul 12 18:25 passwd
  F% w' L$ D6 n. W6 w
  k2 \+ w5 r6 A+ j! w我们可以看到passwd文件只有对于root用户是可写的，而对于所有的他用户来说都是没有写权限的。 那么一个普通的用户如何能够通过运行passwd命令修改这个passwd文件呢？
% u; P& m: b* ?! T( m5 S2 v6 x2 _
为了解决这个问题，SUID/SGID便应运而生。而且AT&T对它申请了专利。 呵呵。

- r( Q8 e/ G! y6 e0 bSUID和SGID是如何解决这个问题呢？
4 S6 U& v3 j% n6 I" X* o' T. p
5 w8 F( N% b  c( d* z首先，我们要知道一点：进程在运行的时候，有一些属性，其中包括 实际用户ID,实际组ID,有效用户ID,有效组ID等。 实际用户ID和实际组ID标识我们是谁，谁在运行这个程序,一般这2个字段在登陆时决定，在一个登陆会话期间， 这些值基本上不改变。

  A, W# `9 J  |# f而有效用户ID和有效组ID则决定了进程在运行时的权限。内核在决定进程是否有文件存取权限时，是采用了进程的有效用户ID来进行判断的。
& ?* c7 D# N- w" w: X, @
知道了这点，我们来看看SUID的解决途径：
' ^& N8 O3 D5 j8 w5 H' T/ n7 G: }% I
当一个程序设置了为SUID位时，内核就知道了运行这个程序的时候，应该认为是文件的所有者在运行这个程序。即该程序运行的时候，有效用户ID是该程序的所有者。举个例子：
/ B* u" Y) }# z: d9 B% r, ]
! o2 H, m: c9 L( r[root@sgrid5 bin]# ls -l passwd
! Z' ]4 @+ p8 B; d$ l
-r-s--s--x 1 root root 16336 Feb 14 2003 passwd

, G# f8 H, ~9 H& E; F& D* o! w7 I虽然你以test登陆系统，但是当你输入passwd命令来更改密码的时候，由于passwd设置了SUID位，因此虽然进程的实际用户ID是test对应的ID，但是进程的有效用户ID则是passwd文件的所有者root的ID,因此可以修改/etc/passwd文件。

! I' R+ W! [. V7 p  \/ G$ }让我们看另外一个例子。

' ?9 b6 Z0 k2 g3 g& bping命令应用广泛，可以测试网络是否连接正常。ping在运行中是采用了ICMP协议，需要发送ICMP报文。但是只有root用户才能建立ICMP报文，如何解决这个问题呢？同样，也是通过SUID位来解决。
! B4 n6 p' s' w# w! Y" M
[root@sgrid5 bin]# ls -l /bin/ping

-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping
1 Z7 ]& G2 Z6 b" U7 N
8 c: s0 q; l4 t+ [我们可以测试一下，如果去掉ping的SUID位，再用普通用户去运行命令，看会怎么样。

3 N/ }  h; |/ E! C& M* B[root@sgrid5 bin]#chmod u-s /bin/ping
4 T% Z( _9 Z( y( E, j" Q5 O3 ~2 i
( q, e6 H' Q7 Q1 |' s4 ~[root@sgrid5 bin]# ls -l ping

-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping

; E2 x& X7 z$ B[root@sgrid5 bin]#su test

- e8 Z' T& L2 u; l' G$ w[test@sgrid5 bin]$ ping byhh.net
% C2 e! y; D$ p+ K
. {; H' O* l  N$ iping: icmp open socket: Operation not permitted
7 s9 l9 ?0 @  D- |6 u
SUID虽然很好了解决了一些问题，但是同时也会带来一些安全隐患。
- s3 R$ V8 J! f9 l! |( [5 f
因为设置了 SUID 位的程序如果被攻击(通过缓冲区溢出等方面),那么hacker就可以拿到root权限。

因此在安全方面特别要注意那些设置了SUID的程序。
, p5 e  m+ w$ z8 ~4 V: v8 W  i: K9 C
通过以下的命令可以找到系统上所有的设置了suid的文件：

[root@sgrid5 /]# find / -perm -04000 -type f -ls

对于这里为什么是4000，大家可以看一下前面的st_mode的各bit的意义就明白了。
在这些设置了suid的程序里，如果用不上的，就最好取消该程序的suid位。