Linux 特殊权限详解(SUID / SGID / Sticky Bit) 📅 发布时间:2026/7/3 16:30:35 👁️ 浏览次数: 在 Linux 的权限体系中基础rwx只能解决“谁能读写执行”但无法覆盖一些更复杂的场景例如需要“临时以文件所有者身份执行”需要“目录内文件自动继承组”需要“共享目录禁止互删”于是引入了三种特殊权限位SUID / SGID / Sticky Bit一、SUIDSet User ID1. 核心定义一句话执行文件时以文件所有者身份运行进程2. 权限表现-rwsr-xr-x root root /usr/bin/passwd重点s出现在 user 权限位表示 SUID 生效3. 行为机制非常重要当普通用户执行程序项目值Real UIDuserAEffective UIDroot文件所有者root 关键点进程权限由 EUID 决定而不是实际用户4. 典型用途系统级工具/usr/bin/passwd修改/etc/shadowmountping早期版本5. 安全本质重点SUID 本质是权限提升通道风险来源shell 调用PATH 劫持环境变量污染可写配置文件生产结论SUID 高风险设计必须极度克制6. 设置方式chmod us file chmod 4755 file二、SGIDSet Group IDSGID 分两种语义文件 目录重点是目录2.1 SGID作用于文件行为执行文件时进程 GID 文件所属组实际使用较少主要用于特定共享工具。2.2 SGID作用于目录 ⭐生产重点1. 核心定义在该目录下创建的文件自动继承目录的 group2. 示例chmod gs /data/shared表现drwxrwsr-xs出现在 group 位3. 行为机制假设目录 group www用户 userA 创建文件结果文件 group www自动继承4. 典型场景Web 目录www-data / nginx团队共享目录CI/CD 构建目录5. 关键价值SGID 解决的是“多人协作时 group 不一致问题”否则需要手动 chgrp非常容易出错。三、Sticky Bit粘滞位1. 核心定义目录中用户只能删除自己创建的文件2. 典型目录/tmp权限drwxrwxrwtt表示 sticky bit3. 行为规则非常关键在 sticky 目录中用户能否删除他人文件文件所有者✔root✔其他用户✘4. 为什么必须存在如果没有 sticky bit/tmp 777任意用户可以删所有人文件系统直接不可用5. 设置方式chmod t dir chmod 1777 dir四、三者对比核心理解表特性作用对象行为本质SUID文件以 owner 身份执行临时提权SGID文件/目录继承 group / 执行组权限协作控制Sticky Bit目录限制删除权限防互删五、权限位在 Linux 中的编码权限八进制SUID4000SGID2000Sticky1000示例组合chmod 2755 dir # SGID chmod 4755 file # SUID chmod 1777 tmp # Sticky六、真实生产理解模型非常重要可以用一句话理解三者SUID权限“借用”我执行程序但借用文件主人的身份SGID权限“继承”我在这个目录创建的东西自动归某个组Sticky Bit权限“保护”这个地方可以共享但不能互相破坏七、常见误区生产踩坑点❌ 误区1SUID 安全功能实际上SUID 是安全风险入口❌ 误区2SGID 只用于执行实际上80% 场景是目录继承❌ 误区3Sticky Bit 没用实际上是 /tmp 安全模型核心总结Linux 三大特殊权限本质是三种控制模型SUID →身份切换提权SGID →组继承协作Sticky →删除约束保护
计算机专业就业:大模型时代学生该怎么准备,从岗位要求反推能力栈 如果你正准备往大模型方向转,《计算机专业就业:大模型时代学生该怎么准备,从岗位要求反推能力栈》这类问题别只看热度。更重要的是判断自己该补哪块能力,以及怎么证明你真的会。摘要这篇面向计算机专业学生、应届生和转专业学习者… 2026/7/3 16:28:34
终极指南:使用WorkshopDL免费下载Steam创意工坊模组 终极指南:使用WorkshopDL免费下载Steam创意工坊模组 【免费下载链接】WorkshopDL WorkshopDL - The Best Steam Workshop Downloader 项目地址: https://gitcode.com/gh_mirrors/wo/WorkshopDL 还在为无法访问Steam创意工坊的游戏模组而烦恼吗?无… 2026/7/3 16:26:33
CBCX外汇的在线支持值不值得了解? 把平台结构直观吗放进真实使用情境里观察,CBCX外汇是否重视基础体验就会更清楚。用户在这些位置看到的是层次分明的说明、适度的提醒和比较顺畅的反馈节奏。这些细节拼在一起,才构成CBCX外汇比较自然、也比较稳健的整体印象。从另一个层面看,… 2026/7/3 16:24:33
实时时钟(RTC)_HT1381的驱动 实时时钟(RTC)_HT1381的驱动 参考手册时序 用三个线去进行时序控制就能得出所要的效果。 时序如下图所示1.按照手册的流程图将时序一一进行带入 代码(以STC8G单片机为例) 源文件 #include “user_ht1381.h” /*****************************************… 2026/7/3 17:56:06
STM32F411RE与LV3296信号采集系统设计与优化 1. LV3296与STM32F411RE的硬件协同架构解析LV3296作为一款高性能信号调理芯片,其前端处理能力与STM32F411RE的运算控制特性形成了完美互补。在实际项目中,我通常将LV3296配置为信号采集前端,通过其内置的可编程增益放大器(PGA&… 2026/7/3 17:56:05
大模型幻觉:现象、机理、诊断与缓解策略的系统性综述 摘要 大规模语言模型(LLM)的“幻觉”(Hallucination)指模型生成的内容与事实、输入指令或上下文逻辑不一致的现象。它不同于单纯的错误或噪声,是模型在缺乏真实知识时以高度自信编造出看似合理但实则虚假输出的内在倾向。本文从定义、类型学、产生机制、诊断方法、与其他相… 2026/7/3 17:54:05
李一鸣团队提出Physical AI Infra,厘清智能获多轮融资剑指2028年规模化落地 《长安的荔枝》与世界模型的互文《长安的荔枝》是97年清华博导李一鸣很喜欢的故事。故事里,小吏李善德要将“一日色变”的鲜荔枝从岭南运到长安,需解决保鲜、驿站、路线、补给等一系列环环相扣的难题,没有这套完整系统,鲜荔枝寸步… 2026/7/3 17:54:05
别再纠结!小程序、APP、网站,到底怎么选? 别再纠结!小程序、APP、网站,到底怎么选? 想必不少朋友在谋划线上业务布局时,心中都藏着这样一个困惑:“我想开拓线上业务,可到底是该选择做网站,还是小程序,亦或是APP呢?… 2026/7/3 17:52:04
14个交易日成A股新“股王”!联讯仪器如何打破茅台纪录,胡海洋创业之路揭秘 股王茅台成为股王耗时4年零8个月,而刚上市的联讯仪器仅用14个交易日就打破这一纪录,成为A股新的股王。茅台一年赚823亿,联讯仪器不到前者1/470,但市场却给予这个卖光通信测试仪器的公司最贵的股价。光通信测试仪器用于测试光通信产… 2026/7/3 17:52:04
如何5分钟快速上手XUnity.AutoTranslator:打破语言障碍的游戏翻译神器终极指南 如何5分钟快速上手XUnity.AutoTranslator:打破语言障碍的游戏翻译神器终极指南 【免费下载链接】XUnity.AutoTranslator 项目地址: https://gitcode.com/gh_mirrors/xu/XUnity.AutoTranslator 你是否曾经因为语言障碍而错过精彩的游戏剧情?面对日… 2026/7/3 0:01:58
3种策略管理Playnite便携版:从基础部署到高级维护的完整指南 3种策略管理Playnite便携版:从基础部署到高级维护的完整指南 【免费下载链接】Playnite Video game library manager with support for wide range of 3rd party libraries and game emulation support, providing one unified interface for your games. 项目地址… 2026/7/3 0:05:59
2026江苏三维扫描仪定制厂家:一条很现实的分水岭——“会用”和“用对” 在江苏制造业的三维扫描项目里,有一个很容易被忽略的分界线: 👉 会用设备,不等于用对设备。 尤其在江苏GOM三维扫描仪定制厂家、江苏蔡司3D扫描仪定制厂家项目中,这条分界线会直接决定系统最终是“工具”,还… 2026/7/3 0:07:59