特殊文件权限（setuid、setgid 和 Sticky 位）

可执行文件和公共目录可以使用三种特殊类型的权限：setuid、setgid 和 sticky 位。设置这些权限之后，运行可执行文件的任何用户都应采用该可执行文件属主（或组）的 ID。

设置特殊权限时必须非常小心，因为特殊权限会带来安全风险。例如，通过执行将用户 ID (user ID, UID) 设置为 0（root 的 UID）的程序，用户可以获取超级用户功能。此外，所有用户可以为其拥有的文件设置特殊权限，这会带来其他安全问题。

应对系统中未经授权使用 setuid 权限和 setgid 权限获取超级用户功能的情况进行监视。可疑权限为用户而不是 root 或 bin 授予管理程序的拥有权。要搜索并列出所有使用此特殊权限的文件，请参见如何使用特殊文件权限查找文件。

setuid 权限

对可执行文件设置 setuid 权限时，将对运行该文件的进程授予基于文件属主的访问权限。该访问权限不是基于正在运行可执行文件的用户。使用此特殊权限，用户可以访问通常只有属主才可访问的文件和目录。

例如，passwd 命令的 setuid 权限使用户可以更改口令。拥有 setuid 权限的 passwd 命令与以下类似：

-r-sr-sr-x   3 root     sys       28144 Jun 17 12:02 /usr/bin/passwd

此特殊权限会带来安全风险。一些确定的用户甚至可以在 setuid 进程执行完毕后，找到保持由该进程授予他们的权限的方法。

在程序中使用具有保留 UID (0–100) 的 setuid 权限可能无法正确设置有效的 UID。请使用 shell 脚本或避免将保留的 UID 用于 setuid 权限。

setgid 权限

setgid 权限与 setuid 权限类似。可将进程的有效组 ID (group ID, GID) 更改为拥有该文件的组，并基于授予该组的权限对用户授权访问权限。/usr/bin/mail 命令拥有 setgid 权限：

-r-x--s--x   1 root   mail     67504 Jun 17 12:01 /usr/bin/mail

将 setgid 权限应用于目录时，该目录中已创建的文件将属于该目录所属于的组。这些文件不属于创建进程所属于的组。在目录中拥有写和执行权限的任何用户都可以在其中创建文件。但是，文件将属于拥有该目录的组，而不是用户所属于的组。

应对系统中未经授权使用 setgid 权限获取超级用户功能的情况进行监视。可疑权限为非常规组而不是 root 或 bin 授予对此类程序的访问权限。要搜索并列出所有使用此权限的文件，请参见如何使用特殊文件权限查找文件。

Sticky 位

sticky 位是保护目录中文件的权限位。如果对目录设置了 sticky 位，则只有文件属主、目录属主或特权用户才可以删除文件。root 用户和主管理员角色即是特权用户。sticky 位禁止用户从公共目录（如 /tmp）中删除其他用户的文件：

drwxrwxrwt 7  root  sys   400 Sep  3 13:37 tmp

在 TMPFS 文件系统中设置公共目录时，务必手动设置 sticky 位。有关说明，请参见示例 6–5。