關於UNIX和Linux系統下SUID、SGID的解析

如果你對SUID、SGID仍有迷惑可以好好參考一下！

Copyright by kevintz.

[@more@]

由於使用者在UNIX下經常會遇到SUID、SGID的概念，而且SUID和SGID涉及到系統安全，所以使用者也比較關心這個問題。關於SUID、SGID的問題也經常有人提問，但回答的人一般答得不夠詳細，加上曾經回答過兩個網友的問題，還查了一些資料，決定整理成本文，以供大家參考。限於本人的水平問題，文章中如果有不當之處，請廣大網友指正。

一、UNIX下關於檔案許可權的表示方法和解析

SUID 是 Set User ID, SGID 是 Set Group ID的意思。

UNIX下可以用ls -l 命令來看到檔案的許可權。用ls命令所得到的表示法的格式是類似這樣的：-rwxr-xr-x 。下面解析一下格式所表示的意思。這種表示方法一共有十位：

9 8 7 6 5 4 3 2 1 0
- r w x r - x r - x

第9位表示檔案型別,可以為p、d、l、s、c、b和-：

p表示命名管道檔案
d表示目錄檔案
l表示符號連線檔案
-表示普通檔案
s表示socket檔案
c表示字元裝置檔案
b表示塊裝置檔案

第8-6位、5-3位、2-0位分別表示檔案所有者的許可權，同組使用者的許可權，其他使用者的許可權，其形式為rwx：

r表示可讀，可以讀出檔案的內容

w表示可寫，可以修改檔案的內容

x表示可執行，可執行這個程式

沒有許可權的位置用-表示

例子：

ls -l myfile顯示為：

-rwxr-x--- 1 foo staff 7734 Apr 05 17:07 myfile

表示檔案myfile是普通檔案，檔案的所有者是foo使用者，而foo使用者屬於staff組，檔案只有1個硬連線，長度是7734個位元組，最後修改時間4月5日17:07。

所有者foo對檔案有讀寫執行許可權，staff組的成員對檔案有讀和執行許可權，其他的使用者對這個檔案沒有許可權。

如果一個檔案被設定了SUID或SGID位，會分別表現在所有者或同組使用者的許可權的可執行位上。例如：

1、-rwsr-xr-x 表示SUID和所有者許可權中可執行位被設定

2、-rwSr--r-- 表示SUID被設定，但所有者許可權中可執行位沒有被設定

3、-rwxr-sr-x 表示SGID和同組使用者許可權中可執行位被設定

4、-rw-r-Sr-- 表示SGID被設定，但同組使用者許可權中可執行位沒有被社

其實在UNIX的實現中，檔案許可權用12個二進位制位表示，如果該位置上的值是

1，表示有相應的許可權：

11 10 9 8 7 6 5 4 3 2 1 0
S G T r w x r w x r w x

第11位為SUID位，第10位為SGID位，第9位為sticky位，第8-0位對應於上面的三組rwx位。

11 10 9 8 7 6 5 4 3 2 1 0

上面的-rwsr-xr-x的值為： 1 0 0 1 1 1 1 0 1 1 0 1

-rw-r-Sr--的值為： 0 1 0 1 1 0 1 0 0 1 0 0

給檔案加SUID和SUID的命令如下：

chmod u+s filename 設定SUID位

chmod u-s filename 去掉SUID設定

chmod g+s filename 設定SGID位

chmod g-s filename 去掉SGID設定

另外一種方法是chmod命令用八進位制表示方法的設定。如果明白了前面的12位許可權表示法也很簡單。

二、SUID和SGID的詳細解析

由於SUID和SGID是在執行程式（程式的可執行位被設定）時起作用，而可執行位只對普通檔案和目錄檔案有意義，所以設定其他種類檔案的SUID和SGID位是沒有多大意義的。

首先講普通檔案的SUID和SGID的作用。例子：

如果普通檔案myfile是屬於foo使用者的，是可執行的，現在沒設SUID位，ls命令顯示如下：

-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile任何使用者都可以執行這個程式。UNIX的核心是根據什麼來確定一個程式對資源的訪問許可權的呢？是這個程式的執行使用者的（有效）ID，包括user id和group id。使用者可以用id命令來查到自己的或其他使用者的user id和group id。

除了一般的user id 和group id外，還有兩個稱之為effective 的id，就是有效id，上面的四個id表示為：uid，gid，euid，egid。核心主要是根據euid和egid來確定程式對資源的訪問許可權。

一個程式如果沒有SUID或SGID位，則euid=uid egid=gid，分別是執行這個程式的使用者的uid和gid。例如kevin使用者的uid和gid分別為204和202，foo使用者的uid和gid為200，201，kevin執行myfile程式形成的程式的euid=uid=204，egid=gid=202，核心根據這些值來判斷程式對資源訪問的限制，其實就是kevin使用者對資源訪問的許可權，和foo沒關係。

如果一個程式設定了SUID，則euid和egid變成被執行的程式的所有者的uid和gid，例如kevin使用者執行myfile，euid=200，egid=201，uid=204，gid=202，則這個程式具有它的屬主foo的資源訪問許可權。

SUID的作用就是這樣：讓本來沒有相應許可權的使用者執行這個程式時，可以訪問他沒有許可權訪問的資源。passwd就是一個很鮮明的例子。

SUID的優先順序比SGID高，當一個可執行程式設定了SUID，則SGID會自動變成相應的egid。

下面討論一個例子：

UNIX系統有一個/dev/kmem的裝置檔案，是一個字元裝置檔案，裡面儲存了核心程式要訪問的資料，包括使用者的口令。所以這個檔案不能給一般的使用者讀寫，許可權設為：cr--r----- 1 root system 2, 1 May 25 1998 kmem

但ps等程式要讀這個檔案，而ps的許可權設定如下：

-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps

這是一個設定了SGID的程式，而ps的使用者是bin，不是root，所以不能設定SUID來訪問kmem，但大家注意了，bin和root都屬於system組，而且ps設定了SGID，一般使用者執行ps，就會獲得system組使用者的許可權，而檔案kmem的同組使用者的許可權是可讀，所以一般使用者執行ps就沒問題了。但有些人說，為什麼不把ps程式設定為root使用者的程式，然後設定SUID位，不也行嗎？這的確可以解決問題，但實際中為什麼不這樣做呢？因為SGID的風險比SUID小得多，所以出於系統安全的考慮，應該儘量用SGID代替SUID的程式，如果可能的話。下面來說明一下SGID對目錄的影響。SUID對目錄沒有影響。如果一個目錄設定了SGID位，那麼如果任何一個使用者對這個目錄有寫許可權的話，他在這個目錄所建立的檔案的組都會自動轉為這個目錄的屬主所在的組，而檔案所有者不變，還是屬於建立這個檔案的使用者。

三、關於SUID和SGID的程式設計

和SUID和SGID程式設計比較密切相關的有以下的標頭檔案和函式：

#include

#include

uid_t getuid(void);

uid_t geteuid(void);

gid_t getgid (void);

gid_t getegid (void);

int setuid (uid_t UID);

int setruid (uid_t RUID);

int seteuid (uid_t EUID);

int setreuid (uid_t RUID,uid_t EUID);

int setgid (gid_t GID);

int setrgid (gid_t RGID);

int setegid (git_t EGID);

int setregid (gid_t RGID, gid_t EGID);

具體這些函式的說明在這裡就不詳細列出來了,要用到的可以用man查。

SUID/SGID :

假如你有檔案a.txt

#ls -l a.txt

-rwxrwxrwx

#chmod 4777 a.txt

-rwsrwxrwx ======>注意s位置

#chmod 2777 a.txt

-rwxrwsrwx ======>注意s位置

#chmod 7777 a.txt

-rwsrwxswt ======>出現了t,t的作用在記憶體中儘量儲存a.txt,節省系統再載入的時間.

現在再看前面設定 SUID/SGID作用:

#cd /sbin

#./lsusb

...

#su aaa(普通使用者)

$./lsusb

...

是不是現在顯示出錯？

$su

#chmod 4755 lsusb

#su aaa

$./lsusb

... 現在明白了嗎？本來是隻有root使用者才能執行的命令，加了SUID後,普通使用者就可以像root一樣的用，許可權提升了。上面是對於檔案來說的，對於目錄也差不多！

目錄的S屬性使得在該目錄下建立的任何檔案及子目錄屬於該目錄所擁有的組，目錄的T屬性使得該目錄的所有者及root才能刪除該目錄。還有對於s與S，設定SUID/SGID需要有執行許可權，否則用ls -l後就會看到S,證明你所設定的SUID/SGID沒有起作用。

Why we need suid,how do we use suid?

r -- 讀訪問

　　 w -- 寫訪問

　　 x -- 執行許可

　　 s -- SUID/SGID

　　 t -- sticky位

那麼 suid/sgid是做什麼的？ 為什麼會有suid位呢？

要想明白這個，先讓我們看個問題：如果讓每個使用者更改自己的密碼？

使用者修改密碼，是透過執行命令passwd來實現的。最終必須要修改/etc/passwd檔案，而passwd的檔案的屬性是：

#ls -l /etc/passwd

-rw-r--r-- 1 root root 2520 Jul 12 18:25 passwd

我們可以看到passwd檔案只有對於root使用者是可寫的，而對於所有的他使用者來說都是沒有寫許可權的。 那麼一個普通的使用者如何能夠透過執行passwd命令修改這個passwd檔案呢？

為了解決這個問題，SUID/SGID便應運而生。而且AT&T對它申請了專利。 呵呵。

SUID和SGID是如何解決這個問題呢？

首先，我們要知道一點：程式在執行的時候，有一些屬性，其中包括 實際使用者ID,實際組ID,有效使用者ID,有效組ID等。 實際使用者ID和實際組ID標識我們是誰，誰在執行這個程式,一般這2個欄位在登陸時決定，在一個登陸會話期間， 這些值基本上不改變。

而有效使用者ID和有效組ID則決定了程式在執行時的許可權。核心在決定程式是否有檔案存取許可權時，是採用了程式的有效使用者ID來進行判斷的。

知道了這點，我們來看看SUID的解決途徑：

當一個程式設定了為SUID位時，核心就知道了執行這個程式的時候，應該認為是檔案的所有者在執行這個程式。即該程式執行的時候，有效使用者ID是該程式的所有者。舉個例子：

[root@sgrid5 bin]# ls -l passwd

-r-s--s--x 1 root root 16336 Feb 14 2003 passwd

雖然你以test登陸系統，但是當你輸入passwd命令來更改密碼的時候，由於passwd設定了SUID位，因此雖然程式的實際使用者ID是test對應的ID，但是程式的有效使用者ID則是passwd檔案的所有者root的ID,因此可以修改/etc/passwd檔案。

讓我們看另外一個例子。

ping命令應用廣泛，可以測試網路是否連線正常。ping在執行中是採用了ICMP協議，需要傳送ICMP報文。但是隻有root使用者才能建立ICMP報文，如何解決這個問題呢？同樣，也是透過SUID位來解決。

[root@sgrid5 bin]# ls -l /bin/ping

-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping

我們可以測試一下，如果去掉ping的SUID位，再用普通使用者去執行命令，看會怎麼樣。

[root@sgrid5 bin]#chmod u-s /bin/ping

[root@sgrid5 bin]# ls -l ping

-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping

[root@sgrid5 bin]#su test

[test@sgrid5 bin]$ ping byhh.net

ping: icmp open socket: Operation not permitted

SUID雖然很好了解決了一些問題，但是同時也會帶來一些安全隱患。

因為設定了 SUID 位的程式如果被攻擊(透過緩衝區溢位等方面),那麼hacker就可以拿到root許可權。

因此在安全方面特別要注意那些設定了SUID的程式。

透過以下的命令可以找到系統上所有的設定了suid的檔案：

[root@sgrid5 /]# find / -perm -04000 -type f -ls

對於這裡為什麼是4000，大家可以看一下前面的st_mode的各bit的意義就明白了。

在這些設定了suid的程式裡，如果用不上的，就最好取消該程式的suid位。