關於UNIX和Linux系統下SUID、SGID的解析

如果你對SUID、SGID仍有迷惑可以好好參考一下！

Copyright by kevintz.

由於用戶在UNIX下經常會遇到SUID、SGID的概念，而且SUID和SGID涉及到系統安全，所以用戶也比較關心這個問題。關於SUID、SGID的問題也經常有人提問，但回答的人一般答得不夠詳細，加上曾經回答過兩個網友的問題，還查了一些資料，決定整理成本文，以供大家參考。限於本人的水平問題，文章中如果有不當之處，請廣大網友指正。

一、UNIX下關於文件許可權的表示方法和解析

SUID 是 Set User ID, SGID 是 Set Group ID的意思。

UNIX下可以用ls -l 命令來看到文件的許可權。用ls命令所得到的表示法的格式是類似這樣的：-rwxr-xr-x 。下面解析一下格式所表示的意思。這種表示方法一共有十位：

9 8 7 6 5 4 3 2 1 0

- r w x r - x r - x

第9位表示文件類型,可以為p、d、l、s、c、b和-：

p表示命名管道文件

d表示目錄文件

l表示符號連接文件

-表示普通文件

s表示socket文件

c表示字元設備文件

b表示塊設備文件

第8-6位、5-3位、2-0位分別表示文件所有者的許可權，同組用戶的許可權，其他用戶的許可權，其形式為rwx：

r表示可讀，可以讀出文件的內容

w表示可寫，可以修改文件的內容

x表示可執行，可運行這個程序

沒有許可權的位置用-表示

例子：

ls -l myfile顯示為：

-rwxr-x--- 1 foo staff 7734 Apr 05 17:07 myfile

表示文件myfile是普通文件，文件的所有者是foo用戶，而foo用戶屬於staff組，文件只有1個硬連接，長度是7734個位元組，最後修改時間4月5日17:07。

所有者foo對文件有讀寫執行許可權，staff組的成員對文件有讀和執行許可權，其他的用戶對這個文件沒有許可權。

如果一個文件被設置了SUID或SGID位，會分別表現在所有者或同組用戶的許可權的可執行位上。例如：

1、-rwsr-xr-x 表示SUID和所有者許可權中可執行位被設置

2、-rwSr--r-- 表示SUID被設置，但所有者許可權中可執行位沒有被設置

3、-rwxr-sr-x 表示SGID和同組用戶許可權中可執行位被設置

4、-rw-r-Sr-- 表示SGID被設置，但同組用戶許可權中可執行位沒有被社

其實在UNIX的實現中，文件許可權用12個二進位位表示，如果該位置上的值是

1，表示有相應的許可權：

11 10 9 8 7 6 5 4 3 2 1 0

S G T r w x r w x r w x

第11位為SUID位，第10位為SGID位，第9位為sticky位，第8-0位對應於上面的三組rwx位。

11 10 9 8 7 6 5 4 3 2 1 0

上面的-rwsr-xr-x的值為： 1 0 0 1 1 1 1 0 1 1 0 1

-rw-r-Sr--的值為： 0 1 0 1 1 0 1 0 0 1 0 0

給文件加SUID和SUID的命令如下：

chmod u+s filename 設置SUID位

chmod u-s filename 去掉SUID設置

chmod g+s filename 設置SGID位

chmod g-s filename 去掉SGID設置

另外一種方法是chmod命令用八進位表示方法的設置。如果明白了前面的12位許可權表示法也很簡單。

二、SUID和SGID的詳細解析

由於SUID和SGID是在執行程序（程序的可執行位被設置）時起作用，而可執行位只對普通文件和目錄文件有意義，所以設置其他種類文件的SUID和SGID位是沒有多大意義的。

首先講普通文件的SUID和SGID的作用。例子：

如果普通文件myfile是屬於foo用戶的，是可執行的，現在沒設SUID位，ls命令顯示如下：

-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile任何用戶都可以執行這個程序。UNIX的內核是根據什麼來確定一個進程對資源的訪問許可權的呢？是這個進程的運行用戶的（有效）ID，包括user id和group id。用戶可以用id命令來查到自己的或其他用戶的user id和group id。

除了一般的user id 和group id外，還有兩個稱之為effective 的id，就是有效id，上面的四個id表示為：uid，gid，euid，egid。內核主要是根據euid和egid來確定進程對資源的訪問許可權。

一個進程如果沒有SUID或SGID位，則euid=uid egid=gid，分別是運行這個程序的用戶的uid和gid。例如kevin用戶的uid和gid分別為204和202，foo用戶的uid和gid為200，201，kevin運行myfile程序形成的進程的euid=uid=204，egid=gid=202，內核根據這些值來判斷進程對資源訪問的限制，其實就是kevin用戶對資源訪問的許可權，和foo沒關係。

如果一個程序設置了SUID，則euid和egid變成被運行的程序的所有者的uid和gid，例如kevin用戶運行myfile，euid=200，egid=201，uid=204，gid=202，則這個進程具有它的屬主foo的資源訪問許可權。

SUID的作用就是這樣：讓本來沒有相應許可權的用戶運行這個程序時，可以訪問他沒有許可權訪問的資源。passwd就是一個很鮮明的例子。

SUID的優先順序比SGID高，當一個可執行程序設置了SUID，則SGID會自動變成相應的egid。

下面討論一個例子：

UNIX系統有一個/dev/kmem的設備文件，是一個字元設備文件，裡面存儲了核心程序要訪問的數據，包括用戶的口令。所以這個文件不能給一般的用戶讀寫，許可權設為：cr--r----- 1 root system 2, 1 May 25 1998 kmem

但ps等程序要讀這個文件，而ps的許可權設置如下：

-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps

這是一個設置了SGID的程序，而ps的用戶是bin，不是root，所以不能設置SUID來訪問kmem，但大家注意了，bin和root都屬於system組，而且ps設置了SGID，一般用戶執行ps，就會獲得system組用戶的許可權，而文件kmem的同組用戶的許可權是可讀，所以一般用戶執行ps就沒問題了。但有些人說，為什麼不把ps程序設置為root用戶的程序，然後設置SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，應該盡量用SGID代替SUID的程序，如果可能的話。下面來說明一下SGID對目錄的影響。SUID對目錄沒有影響。如果一個目錄設置了SGID位，那麼如果任何一個用戶對這個目錄有寫許可權的話，他在這個目錄所建立的文件的組都會自動轉為這個目錄的屬主所在的組，而文件所有者不變，還是屬於建立這個文件的用戶。

三、關於SUID和SGID的編程

和SUID和SGID編程比較密切相關的有以下的頭文件和函數：

#include

#include

uid_t getuid(void);

uid_t geteuid(void);

gid_t getgid (void);

gid_t getegid (void);

int setuid (uid_t UID);

int setruid (uid_t RUID);

int seteuid (uid_t EUID);

int setreuid (uid_t RUID,uid_t EUID);

int setgid (gid_t GID);

int setrgid (gid_t RGID);

int setegid (git_t EGID);

int setregid (gid_t RGID, gid_t EGID);

具體這些函數的說明在這裡就不詳細列出來了,要用到的可以用man查。

SUID/SGID :

假如你有文件a.txt

#ls -l a.txt

-rwxrwxrwx

#chmod 4777 a.txt

-rwsrwxrwx ======>注意s位置

#chmod 2777 a.txt

-rwxrwsrwx ======>注意s位置

#chmod 7777 a.txt

-rwsrwxswt ======>出現了t,t的作用在內存中盡量保存a.txt,節省系統再載入的時間.

現在再看前面設置 SUID/SGID作用:

#cd /sbin

#./lsusb

...

#su aaa(普通用戶)

$./lsusb

...

是不是現在顯示出錯？

$su

#chmod 4755 lsusb

#su aaa

$./lsusb

... 現在明白了嗎？本來是只有root用戶才能執行的命令，加了SUID后,普通用戶就可以像root一樣的用，許可權提升了。上面是對於文件來說的，對於目錄也差不多！

目錄的S屬性使得在該目錄下創建的任何文件及子目錄屬於該目錄所擁有的組，目錄的T屬性使得該目錄的所有者及root才能刪除該目錄。還有對於s與S，設置SUID/SGID需要有運行許可權，否則用ls -l后就會看到S,證明你所設置的SUID/SGID沒有起作用。

Why we need suid,how do we use suid?

r -- 讀訪問

　　 w -- 寫訪問

　　 x -- 執行許可

　　 s -- SUID/SGID

　　 t -- sticky位

那麼 suid/sgid是做什麼的？ 為什麼會有suid位呢？

要想明白這個，先讓我們看個問題：如果讓每個用戶更改自己的密碼？

用戶修改密碼，是通過運行命令passwd來實現的。最終必須要修改/etc/passwd文件，而passwd的文件的屬性是：

#ls -l /etc/passwd

-rw-r--r-- 1 root root 2520 Jul 12 18:25 passwd

我們可以看到passwd文件只有對於root用戶是可寫的，而對於所有的他用戶來說都是沒有寫許可權的。 那麼一個普通的用戶如何能夠通過運行passwd命令修改這個passwd文件呢？

為了解決這個問題，SUID/SGID便應運而生。而且AT&T對它申請了專利。 呵呵。

SUID和SGID是如何解決這個問題呢？

首先，我們要知道一點：進程在運行的時候，有一些屬性，其中包括 實際用戶ID,實際組ID,有效用戶ID,有效組ID等。 實際用戶ID和實際組ID標識我們是誰，誰在運行這個程序,一般這2個欄位在登陸時決定，在一個登陸會話期間， 這些值基本上不改變。

而有效用戶ID和有效組ID則決定了進程在運行時的許可權。內核在決定進程是否有文件存取許可權時，是採用了進程的有效用戶ID來進行判斷的。

知道了這點，我們來看看SUID的解決途徑：

當一個程序設置了為SUID位時，內核就知道了運行這個程序的時候，應該認為是文件的所有者在運行這個程序。即該程序運行的時候，有效用戶ID是該程序的所有者。舉個例子：

[root@sgrid5 bin]# ls -l passwd

-r-s--s--x 1 root root 16336 Feb 14 2003 passwd

雖然你以test登陸系統，但是當你輸入passwd命令來更改密碼的時候，由於passwd設置了SUID位，因此雖然進程的實際用戶ID是test對應的ID，但是進程的有效用戶ID則是passwd文件的所有者root的ID,因此可以修改/etc/passwd文件。

讓我們看另外一個例子。

ping命令應用廣泛，可以測試網路是否連接正常。ping在運行中是採用了ICMP協議，需要發送ICMP報文。但是只有root用戶才能建立ICMP報文，如何解決這個問題呢？同樣，也是通過SUID位來解決。

[root@sgrid5 bin]# ls -l /bin/ping

-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping

我們可以測試一下，如果去掉ping的SUID位，再用普通用戶去運行命令，看會怎麼樣。

[root@sgrid5 bin]#chmod u-s /bin/ping

[root@sgrid5 bin]# ls -l ping

-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping

[root@sgrid5 bin]#su test

[test@sgrid5 bin]$ ping byhh.net

ping: icmp open socket: Operation not permitted

SUID雖然很好了解決了一些問題，但是同時也會帶來一些安全隱患。

因為設置了 SUID 位的程序如果被攻擊(通過緩衝區溢出等方面),那麼hacker就可以拿到root許可權。

因此在安全方面特別要注意那些設置了SUID的程序。

通過以下的命令可以找到系統上所有的設置了suid的文件：

[root@sgrid5 /]# find / -perm -04000 -type f -ls

對於這裡為什麼是4000，大家可以看一下前面的st_mode的各bit的意義就明白了。

在這些設置了suid的程序里，如果用不上的，就最好取消該程序的suid位。

（責任編輯：A6）