Linux 中的 SUID、SGID 和 Sticky Bit 详解

原创 于 2026-06-20 10:33:11 发布 · 8 阅读 · 0 GEO检测
标签
#linux #运维 #服务器

在 Linux 文件权限体系中,除了常见的 rwx 三种基本权限外,还有三种特殊权限位:

  • SUID:Set User ID
  • SGID:Set Group ID
  • Sticky Bit:粘滞位

它们的作用不是简单地控制“能不能读写执行”,而是进一步控制程序运行时的身份目录中新建文件的所属组、以及公共目录中文件删除规则。这三种权限在系统管理、协作目录、临时目录中都非常常见。

一、SUID:让程序以文件所有者身份运行

1. 基本概念

SUID 主要用于可执行文件
当一个程序设置了 SUID 后,普通用户执行这个程序时,程序运行过程中会暂时获得文件所有者的权限,而不是执行者自己的权限。

最典型的例子就是 passwd 命令。

比如普通用户想修改自己的密码,实际会涉及到 /etc/shadow 文件,而这个文件通常只有 root 才能写。
passwd 命令本身就带有 SUID,所以普通用户执行时,它会临时以 root 身份访问相关文件,

订阅专栏 解锁全文 限时秒杀 ¥19.9 限时期限 超级会员免费看
深入理解Linux特殊权限位:SUIDSGIDSticky Bit详解
m0_73892800的博客
10-17 1032
本文详细介绍了linux中的特殊权限位并且举例
Linux 权限体系详解:777、755、644、600、chmod、chown、chgrp umask;SUIDSGID Sticky Bit;ACL (访问控制列表) 是什么?
开源AI 专属 UI——papyrai-ui。《千界明彻录》(故事形式构建元思维)——胡说小说。更多思辨内容在公众号。
01-22 2900
Linux 权限体系是一个既灵活又复杂的系统,它通过细粒度的权限控制帮助管理员确保文件目录的安全访问。然而,灵活性也带来了复杂性,特别是在多用户、多任务的环境中,正确配置管理权限是保障系统安全的核心任务。理解 Linux 权限管理的基本原则是每个系统管理员开发者必备的技能。但仅仅掌握基础知识是不够的,实际操作实践才能帮助您深入理解权限配置的细节。通过不断优化调整权限配置,您将能够构建一个更加安全、稳定的系统。
深入理解Linux文件特殊权限:SUIDSGIDSticky Bit
m0_53747349的博客
03-18 1484
特殊权限是Linux权限体系的高级功能,正确使用能显著提升系统安全性管理效率。遵循最小权限原则,仅赋予必要权限。使用符号表示法修改权限,避免八进制数字记忆错误。定期审计特殊权限文件,及时发现潜在风险。
Linux 基础知识系列:第一百九十五篇】理解 Linux 权限位:SUIDSGIDSticky Bit
望获实时Linux系统
12-10 1350
Linux系统的特殊权限位(SUIDSGIDStickyBit)提供了高级权限管理功能。SUID允许以文件所有者权限执行程序,SGID可继承组权限并控制新建文件组归属,StickyBit保护共享目录中用户文件不被他人删除。这些权限通过chmod命令设置(u+s、g+s、+t),但需谨慎使用以避免安全风险。建议遵循最小权限原则,定期审计特殊权限文件,结合安全编程实践,并教育用户正确使用。合理运用这些功能能提升系统灵活性,同时需注意SUID/SGID可能被恶意利用的安全隐患。
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
我哎GIS博客
06-17 469
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
记录从0到1制作 Linux To Go
kusunoki的博客
06-17 300
本文介绍了如何制作一个便携的 Linux To Go 系统盘,适合计算机专业或有显卡需求的用户使用。通过 Ubuntu 启动盘,将系统完整安装到移动硬盘/U盘中,避免了双系统或虚拟机的复杂设置。文章详细讲解了准备工作、启动盘制作、BIOS 设置、系统安装步骤,以及网卡显卡驱动的安装方法。这种方案可在不同电脑上即插即用,保留了完整的 Linux 系统功能性能。
Linux 系统调用 | 原理、架构与底层实现
u013669912的博客
06-14 435
……
imx6ull开发板,sd卡启动运行linux,手动给开发板的 emmc 做分区、烧系统
2301_79809746的博客
06-15 304
boot1 分区 其实也可以做U-Boot备份,boot0 + boot1 双备份据可以覆盖 U-Boot 冗余需求,p1 分区就有点多余了。imx6ull开发板的 U-Boot 版本是 2016.03 ,配置里没有 GPT 支持,分区表 支持 MBR ,属于2016年前后的技术栈。2. 启动分区(放内核、设备树、U-Boot环境变量的分区):保持只读属性,防止启动关键文件被误删,保障开机稳定性;A/B 独立分区: bootA,bootB ,rootfs A ,rootfs B,每个都是独立文件系统。
IntelliJ IDEA 在 Linux 上的完整安装与使用指南
独坐一隅,凝神遐想,是种幸福! —— 独隅
06-14 575
本文提供IntelliJ IDEA在Linux系统上的完整安装使用指南。作为JetBrains推出的旗舰Java/Kotlin开发工具,IDEA凭借智能代码补全、强大重构功能丰富插件生态,成为开发者首选。指南详细介绍了Linux环境下的安装配置流程,包括:1) 下载.tar.gz包并解压至/opt目录;2) 配置桌面快捷方式启动脚本;3) 内存与JVM参数优化;4) 终端集成与Shell脚本联动技巧。
kaliLinux~ 与端口建立连接
Gavin
06-14 1034
本文介绍了如何使用Kali Linux中的nc命令与Spring Boot服务建立连接并发送HTTP请求,以及尝试连接MySQL数据库的过程。作者首先创建了一个简单的Spring Boot接口,通过nc命令成功发送GET请求并获取响应。随后尝试连接MySQL数据库时遇到防火墙拦截SSL证书验证问题,通过调整防火墙设置使用--skip-ssl-verify参数最终成功建立连接。文章记录了整个实验过程中的命令操作问题解决方法,展现了基本的网络连接测试技术。
Linux 搭建及配置 DNS 服务器 — 实操指南
最新发布
cpyaxjq的博客
06-17 278
本文是一篇关于在Linux系统上搭建配置DNS服务器的实操指南。主要内容包括: DNS基础知识 DNS作用:将域名转换为IP地址 系统DNS配置文件解析(/etc/resolv.conf、/etc/hosts等) 常见DNS记录类型(A、AAAA、CNAME、MX等)及查询示例 DNS解析原理 解析流程图示:从根服务器到权威DNS的逐级查询 全球13组根服务器介绍 递归解析过程演示(使用dig +trace命令) BIND9服务器搭建 系统环境:Ubuntu 24.04 LTS 安装配置BIND9服务
Rocky Linux Cockpit无法显示容器信息的修复
xplidelphi的专栏
06-15 281
本文描述了一个Podman容器管理问题:容器实际运行正常但在Cockpit界面不显示。通过podman info命令发现报错,提示用户目录下的registries.conf被误建为目录而非配置文件。核心原因是配置文件路径被创建为目录导致读取失败。解决方案是删除该目录,使用系统全局配置。最终验证该方法有效解决了Cockpit显示异常的问题,整个过程展示了通过错误信息准确定位配置问题的思路。
andoird13 + bazel 编译 Linux kernel
Android小码家
06-15 206
本文介绍了如何为Android 13模拟器编译替换Linux内核的完整流程。主要内容包括: 确定当前模拟器内核版本(5.15.41-android13) 从Google官方仓库下载对应内核源码(common-android13-5.15分支) 修改内核配置,将virtio_blkvirtio_scsi驱动改为模块化编译 使用Bazel工具编译x86_64架构内核 替换Android源码中的预编译内核(prebuilts/qemu-kernel/x86_64/kernel-qemu) 启动模拟器验证新内核
BurpSuite实战:WackoPicko敏感目录探测
2501_92127719的博客
06-13 278
通过使用 Burp Suite 的 Intruder 模块,我们有效地自动化地发现了 Web 应用程序中的敏感目录文件。从基础的抓包、设置标记点、加载字典,到启动攻击分析结果,每一步都体现了自动化工具在渗透测试中的巨大价值。更重要的是,通过深入理解 Intruder 的 Payload 类型 Attack Type,我们不再局限于“照葫芦画瓢”的操作,而是能够根据实际场景灵活调整策略。例如,当面对需要同时测试用户名密码的登录框时,我们可以切换到Pitchfork​ 模式;
服务器现场排障:在 Windows 下使用 Linux reader 直接查看 Linux 系统 U 盘中的日志文件与文件结构
CingSyuan的博客
06-15 260
摘要 本文介绍了在Windows环境下直接读取Linux系统U盘文件的方法。由于现场服务器缺乏网络接口且仅有一个U盘,传统网络传输或多U盘方案不可行。通过DiskInternals Linux Reader工具,可在Windows下直接识别并查看Linux文件系统(如Redhat 8.6),无需启动虚拟机或额外设备。文章详细演示了工具操作流程,包括分区识别、文件预览日志提取,并强调该工具适合临时查看日志配置文件,但修改文件或批量导出需付费版本。
Linux 常见缩写命令英文全称
lsyeei的博客
06-17 429
本文整理了一系列常用Linux命令及其名称来源功能简介,涵盖了系统管理、文件操作、网络工具、用户管理等多个方面。包括awk文本处理、bash默认shell、rpm软件包管理、ssh安全登录、ping网络测试等基础命令,以及chmod权限修改、rm文件删除、df磁盘空间查询等实用工具。每个命令均标注了英文全称核心用途,如sudo(superuser do)用于特权执行、tar(tape archive)实现文件打包等,为Linux用户提供了快速查阅参考。
[Linux]用瀏覽器就能管理伺服器_Cockpit套件
分享实用工具、好书阅读、教育学习与思维概念等等多元化的主题。
06-14 271
本文介绍了一款基于Web的Linux服务器管理工具Cockpit,适用于Ubuntu、RockyLinux等系统。Cockpit由RedHat开发,提供实时监控、账号管理、文件浏览等功能,支持容器虚拟化整合。安装简单,在UbuntuRockyLinux上仅需几条命令即可完成。通过浏览器访问,用户可直观查看系统状态、管理服务,适合系统管理员、DevOps工程师初学者使用。Cockpit不取代终端,而是提供更便捷的管理方式,降低学习成本,提升运维效率。
linux通用基础
2302_80696251的博客
06-16 313
0:就绪的 fd 总数0:超时-1:出错(errno)定义 fd_setFD_ZERO 清空FD_SET 把需要监听的 fd 加进去调用 select用 FD_ISSET 遍历判断哪个就绪。
Linux 系统编程 · 第 8 章:进程基础
qq_40843427的博客
06-15 90
本文摘要: 本章深入讲解了Linux进程的核心概念与机制。主要内容包括:进程与程序的本质区别,进程作为动态执行实例的组成要素(代码段、数据段、堆栈等);进程控制块(PCB)的关键数据结构;进程标识符体系(PID、PPID等);进程状态机模型(就绪、运行、阻塞等状态转换);进程环境变量内存布局;以及进程创建(fork)与终止(exit)的系统调用机制。通过示例代码展示了如何获取进程基本信息、资源限制调度状态等核心属性。强调进程作为操作系统资源分配调度的基本单位,具有独立的地址空间生命周期特性。
Linux:TCP协议的socket套接字
KEEP ON KEEPING ON
06-15 2716
本文介绍了基于TCP协议的socket套接字实现,包括服务端客户端的开发流程。服务端通过socket()、bind()、listen()初始化,使用accept()建立连接后通过read/write进行通信;客户端通过connect()连接服务端后收发数据。文章详细讲解了日志系统实现,支持多进程/多线程并发处理,并介绍了守护进程的实现方法,使服务端进程不受终端关闭影响。最后还讨论了TCP与UDP的主要区别,如连接建立、可靠性保证等特性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ricky_Ribbon

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值