Linux系统中的uid是用户标识符的简称,是系统内核用来区分不同用户身份的数字编号,所有和用户相关的权限校验、资源归属判定都会基于uid来完成,是Linux权限体系的基础组成部分。
uid的基础定义与取值规则
在Linux系统中,每个用户都会对应一个唯一的uid,系统不会直接通过用户名来识别用户身份,而是将用户名和uid的映射关系存储在/etc/passwd文件中,内核处理请求时只会读取uid数值进行判断。
uid的取值分为几个固定区间,不同区间对应不同身份的用户:
- 0:超级用户root的专用uid,拥有系统的最高权限,可以执行所有操作
- 1-999:系统预留的uid区间,分配给系统服务、守护进程等不需要登录的系统用户使用
- 1000及以上:普通用户的uid区间,手动创建的用户默认会从1000开始递增分配
uid的核心作用
1. 权限校验的基础依据
Linux的文件和目录权限分为所有者、所属组、其他用户三类,其中所有者权限的判定就是基于uid实现的。当用户尝试访问某个文件时,系统会对比当前进程的uid和文件所有者的uid,如果一致就会匹配所有者权限。
比如以下文件权限示例中,文件所有者uid是1000,那么uid为1000的用户访问该文件时会获得rwx权限:
# 查看文件权限和所有者uid ls -l test.txt # 输出示例:-rwxr--r-- 1 1000 users 12 May 20 10:00 test.txt # 其中1000就是文件所有者的uid
2. 进程归属的标识
每个运行的进程都会关联两个uid:真实uid(RUID)和有效uid(EUID)。真实uid标识进程的创建者身份,有效uid则用于权限校验,比如普通用户执行sudo命令时,进程的EUID会临时切换为0,从而获得root权限执行操作。
可以通过ps命令查看进程的uid信息:
# 查看进程对应的uid ps -eo pid,ruid,euid,comm # 输出示例: # PID RUID EUID COMMAND # 1234 1000 1000 bash # 1235 1000 0 sudo
3. 系统资源归属判定
系统中的所有资源,包括文件、目录、套接字、共享内存等,都会标记所有者的uid。当对资源进行删除、修改等操作时,系统会校验操作者的uid和资源所有者的uid是否匹配,避免用户越权操作其他用户的资源。
4. 特殊权限的触发条件
Linux中的特殊权限SUID就是基于uid实现的,当可执行文件设置了SUID权限后,任何用户执行该文件时,进程的EUID会临时切换为文件所有者的uid。最常见的例子是passwd命令,它的所有者是root,普通用户执行时EUID会变为0,从而可以修改自己的密码。
# 查看passwd命令的权限 ls -l /usr/bin/passwd # 输出示例:-rwsr-xr-x 1 root root 68208 May 20 10:00 /usr/bin/passwd # 其中的s就是SUID权限标识
uid相关常用操作
查看当前用户的uid
可以通过id命令快速查看当前用户的uid、gid等信息:
# 查看当前用户的uid信息 id # 输出示例:uid=1000(testuser) gid=1000(testuser) groups=1000(testuser),10(wheel)
查看指定用户的uid
也可以在id命令后加上用户名,查看指定用户的uid:
# 查看root用户的uid id root # 输出示例:uid=0(root) gid=0(root) groups=0(root)
修改用户的uid
如果需要修改已有用户的uid,可以使用usermod命令,修改后需要同步更新该用户拥有的文件的所有者uid,避免出现权限异常:
# 将用户testuser的uid修改为1001
usermod -u 1001 testuser
# 同步更新该用户拥有的文件的所有者uid
find / -user 1000 -exec chown -h 1001 {} ; 2>/dev/null
uid使用注意事项
不要随意修改root用户的uid,否则会导致系统权限完全失效,无法正常登录和操作。普通用户的uid尽量不要设置为1000以下,避免和系统预留用户冲突。如果需要让普通用户获得部分root权限,推荐通过配置sudo规则实现,而不是直接修改用户的uid为0,降低系统安全风险。