重温Linux权限：SUID、SGID和SBIT的实际使用场景

2024-01-14 07:46:11

在Linux系统中，权限管理是至关重要的，它涉及到用户对文件、目录和资源的访问控制。除了传统的读、写、执行权限之外，Linux还提供了三种特殊权限：Setuid(SUID)、Setgid（SGID）和 Sticky Bit（SBIT）。这三种特殊权限可以赋予用户额外的访问权限，但在使用时也需要谨慎，否则可能会带来安全风险。接下来，我们将详细探讨这三种特殊权限的实际使用场景。

Setuid (SUID) 权限

SUID权限允许普通用户在执行某些程序时临时获得该程序所有者的权限。通常情况下，普通用户只能访问自己拥有的文件和目录，而无法访问其他用户的文件和目录。但是，当一个程序被赋予SUID权限时，普通用户在执行该程序时，将暂时拥有该程序所有者的权限，从而能够访问其他用户的文件和目录。

SUID权限的典型使用场景包括：

允许普通用户运行需要root权限的程序。 比如，/usr/bin/sudo程序通常被赋予SUID权限，这允许普通用户在需要时使用sudo命令来运行需要root权限的程序。
允许普通用户访问其他用户的文件和目录。 比如，在/etc/passwd文件中，每个用户的密码都以加密的形式存储。为了允许普通用户能够修改自己的密码，/usr/bin/passwd程序被赋予了SUID权限，这允许普通用户在执行该程序时暂时拥有root权限，从而能够修改自己的密码。

Setgid (SGID) 权限

SGID权限允许普通用户在执行某些程序时临时获得该程序所属组的权限。通常情况下，普通用户只能访问自己所属组的文件和目录，而无法访问其他组的文件和目录。但是，当一个程序被赋予SGID权限时，普通用户在执行该程序时，将暂时拥有该程序所属组的权限，从而能够访问其他组的文件和目录。

SGID权限的典型使用场景包括：

允许普通用户创建属于其他组的文件和目录。 比如，/usr/bin/chgrp程序通常被赋予SGID权限，这允许普通用户在使用该程序时暂时拥有root权限，从而能够将文件和目录的所属组更改为其他组。
允许普通用户修改属于其他组的文件和目录。 比如，在/etc/group文件中，每个组的成员信息都以纯文本的形式存储。为了允许普通用户能够修改自己所属组的成员信息，/usr/bin/groupmod程序被赋予了SGID权限，这允许普通用户在执行该程序时暂时拥有root权限，从而能够修改自己所属组的成员信息。

Sticky Bit (SBIT) 权限

Sticky Bit权限是一种特殊的文件权限，它可以防止普通用户删除或重命名不属于自己的文件。当一个文件被赋予Sticky Bit权限时，只有该文件的拥有者和root用户可以删除或重命名该文件。

Sticky Bit权限的典型使用场景包括：

保护公共目录中的文件。 比如，在/tmp目录中，所有的文件都属于root用户，但是，为了允许普通用户能够在该目录中创建和修改文件，/tmp目录被赋予了Sticky Bit权限，这防止了普通用户删除或重命名其他用户创建的文件。
保护日志文件。 比如，在/var/log目录中，所有的日志文件都属于root用户，但是，为了允许普通用户能够查看日志文件，/var/log目录被赋予了Sticky Bit权限，这防止了普通用户删除或重命名日志文件。