在現(xiàn)代Linux系統(tǒng)中，為Shell腳本設(shè)置 SUID（Set User ID） 權(quán)限位幾乎是無(wú)效的。

這個(gè)看似簡(jiǎn)單的現(xiàn)象背后，是Linux內(nèi)核設(shè)計(jì)者們?cè)诎踩c便利性之間做出的一個(gè)至關(guān)重要的歷史性抉擇。

要徹底理解這一點(diǎn)，我們需要深入到內(nèi)核層面，并追溯其演變過(guò)程。

1. 內(nèi)核的執(zhí)行模型：二進(jìn)制與解釋腳本的根本區(qū)別

首先，我們需要區(qū)分Linux內(nèi)核是如何處理可執(zhí)行的二進(jìn)制程序和解釋型腳本的。

二進(jìn)制程序執(zhí)行流程：

1. 當(dāng)你執(zhí)行一個(gè)a.out這樣的二進(jìn)制文件時(shí)，內(nèi)核會(huì)直接啟動(dòng)一個(gè)新的進(jìn)程。
2. 內(nèi)核檢查文件的SUID權(quán)限位。
3. 如果SUID位被設(shè)置，內(nèi)核會(huì)主動(dòng)且在進(jìn)程啟動(dòng)的第一時(shí)間將該進(jìn)程的有效用戶ID (EUID) 設(shè)置為文件的所有者ID。
4. 從這一刻起，這個(gè)進(jìn)程就擁有了對(duì)應(yīng)的高權(quán)限（例如root）。

解釋型腳本執(zhí)行流程：

1. 當(dāng)你執(zhí)行一個(gè)script.sh腳本時(shí)，內(nèi)核并不會(huì)直接執(zhí)行它。
2. 內(nèi)核會(huì)讀取文件的 “Shebang”行（#!）。
3. 內(nèi)核發(fā)現(xiàn)這是一個(gè)需要解釋器（如/bin/bash）來(lái)執(zhí)行的腳本。
4. 內(nèi)核會(huì)以當(dāng)前用戶的權(quán)限，啟動(dòng)一個(gè)新的進(jìn)程，這個(gè)進(jìn)程的可執(zhí)行文件是指定的解釋器（如/bin/bash）。
5. SUID權(quán)限在這里被“截?cái)?rdquo;了。 腳本的SUID權(quán)限是作用于文件本身的，但內(nèi)核沒(méi)有將這個(gè)權(quán)限傳遞給新啟動(dòng)的解釋器進(jìn)程。
6. 新啟動(dòng)的/bin/bash進(jìn)程以低權(quán)限運(yùn)行，然后由它來(lái)讀取并執(zhí)行腳本中的每一行命令。

這個(gè)本質(zhì)區(qū)別是所有問(wèn)題的根源：SUID權(quán)限的賦予是內(nèi)核對(duì)可執(zhí)行文件的特有操作，它不適用于間接執(zhí)行的解釋器。

2. 歷史上的安全教訓(xùn)：SUID腳本的巨大漏洞

在早期的UNIX系統(tǒng)（如System V）中，SUID腳本是被支持的。但很快，開(kāi)發(fā)者們就發(fā)現(xiàn)了其中的巨大安全隱患。

環(huán)境中毒（Environment Poisoning）：

• SUID腳本通常會(huì)依賴一些外部命令，例如grep、cat、rm等。
• 這些命令的查找路徑由PATH環(huán)境變量決定。
• 攻擊者可以創(chuàng)建一個(gè)名為grep的惡意程序，并將其所在的目錄添加到PATH環(huán)境變量的開(kāi)頭。
• 當(dāng)SUID腳本以root權(quán)限執(zhí)行時(shí)，它會(huì)優(yōu)先找到并運(yùn)行攻擊者的惡意grep程序，而不是系統(tǒng)原本的grep，從而獲得root權(quán)限。
• 因?yàn)槟_本本身無(wú)法控制或清理PATH變量，這種攻擊幾乎無(wú)法防御。

命令注入（Command Injection）：

• 如果腳本需要處理用戶輸入，比如echo $1（其中$1是用戶輸入的第一個(gè)參數(shù)）。
• 攻擊者可以構(gòu)造惡意輸入，例如 Hello; rm -rf /。
• 當(dāng)腳本以SUID權(quán)限執(zhí)行時(shí)，echo命令執(zhí)行完后，分號(hào)后面的rm -rf /命令也會(huì)被解釋器以root權(quán)限執(zhí)行，從而導(dǎo)致災(zāi)難性的后果。

這些漏洞表明，腳本的開(kāi)放性和動(dòng)態(tài)性（依賴于解釋器和環(huán)境變量）使得SUID權(quán)限變得極其危險(xiǎn)，因?yàn)槟_本無(wú)法像編譯好的二進(jìn)制程序那樣嚴(yán)格控制其執(zhí)行環(huán)境。

3. 現(xiàn)代Linux的解決方案：放棄SUID腳本，走向更安全的權(quán)限管理

面對(duì)這些不可避免的漏洞，Linux社區(qū)最終達(dá)成了共識(shí)：為了系統(tǒng)的整體安全，必須從內(nèi)核層面禁用SUID對(duì)解釋型腳本的支持。

這使得開(kāi)發(fā)者必須采用更安全、更可控的方式來(lái)實(shí)現(xiàn)特權(quán)操作：

編譯型語(yǔ)言：

• 這是最推薦的做法。使用C/C++等編譯型語(yǔ)言編寫(xiě)需要SUID權(quán)限的程序。
• 編譯后的二進(jìn)制文件不依賴外部解釋器，其行為更加可控，也更容易審計(jì)。
• sudo、passwd等核心系統(tǒng)工具都是用這種方式實(shí)現(xiàn)的。

sudo機(jī)制： sudo是比SUID更現(xiàn)代、更強(qiáng)大的權(quán)限管理工具。

• 它允許管理員精確配置哪些用戶可以以哪個(gè)身份執(zhí)行哪些命令，甚至可以限制允許使用的參數(shù)。
• 這提供了一種細(xì)粒度的授權(quán)方式，避免了SUID帶來(lái)的“全有或全無(wú)”的風(fēng)險(xiǎn)。

setcap（Capability）： setcap是Linux內(nèi)核提供的一種更精細(xì)的權(quán)限控制機(jī)制。

• 它允許開(kāi)發(fā)者將一個(gè)特權(quán)操作（如綁定到小于1024的端口）單獨(dú)授予某個(gè)二進(jìn)制文件，而無(wú)需賦予它完整的root權(quán)限。
• 這大大降低了程序的權(quán)限，即使被攻擊，也無(wú)法對(duì)系統(tǒng)造成更大的破壞。

總結(jié)

現(xiàn)代Linux發(fā)行版對(duì)Shell腳本的SUID位選擇性忽略，是內(nèi)核為了系統(tǒng)安全而做出的主動(dòng)且必要的設(shè)計(jì)。

它強(qiáng)制開(kāi)發(fā)者使用更安全、更可控的編譯型程序或現(xiàn)代化的sudo/setcap等工具來(lái)處理特權(quán)操作，從而從根本上杜絕了過(guò)去SUID腳本所帶來(lái)的各種難以防范的漏洞。

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。