为什么要求privs将setgid（）添加到补充组

set*gid()除极少数情况外，各种系统调用都需要特权来更改组。将主要组更改为进程的补充组之一似乎不是其中之一，这意味着例如newgrp/ sg命令需要提升特权才能切换主要组。

是否有一个原因，为什么setgid()/ setegid()/ setregid()/ setfsgid()不允许没有PRIVS切换到补充组？如果是这样，原因是什么？

当然，这里的基本难题是文件系统权限检查基于（有效UID和）有效GID与补充GID的组合。因此，从文件权限检查的角度来看，有效GID等同于补充GID，这导致了OP的问题。（顺便说一句：如果我们谈论的是Linux，实际上是文件系统权限检查中使用的文件系统UID / GID，而不是有效的UID和GID，但是前一个ID几乎总是与后一个ID具有相同的值。 ）

因此，在某些情况下，实际/有效/保存设置的GID不等于补充GID。（我将真实/有效/保存集的GID分组在一起，因为正常的set * gid（）权限规则说，未特权的进程可以将这些GID中的任何一个更改为与其他两个GID相同的值。）

确实，有一些这样的情况。access（2）根据进程的真实用户ID和组ID进行检查。如果没有特权的用户能够将真实组ID更改为与不是有效或保存的集合GID的补充GID之一相同，则可以操纵access（2）的行为。

还有其他这种情况。有关示例，请参见Linux mkdir（2）手册页。根据是否在父目录上设置了set-GID模式位，在目录中创建的新文件将从创建过程的有效GID中获取其组所有权。同样，如果无特权的进程可以将其有效GID更改为其补充GID之一，则它可以以意想不到的方式操纵新文件的组所有权。类似的注释适用于mknod（2），并且System V IPC调用semget（2），shmget（2）和msgget（2）。

在某些特定于Linux的情况下，实际/有效/保存的集合GID不等于补充GID。例如，请参见process_vm_readv（2）和prlimit（2）。

我认为原因主要是历史原因。直到4.2BSD（大约1983年）才添加补充组。在此之前，您只有真正有效的uid和gid。

setuid / setgid的行为是完全对称的，没有理由不这样做。您将使用切换用户su，并使用sg/ newgrp所有setuid可执行文件进行分组。有关用户组成员身份的信息仅驻留在用户数据库中，而不驻留在进程的属性中。

当添加辅助gid时，setuid / setgid接口未更改。

从技术上来说，现在，如果您具有对文件系统的写访问权限（未禁用执行和setuid / setgid），您仍然可以将有效或实际用户ID设置为任何辅助ID（无需诉诸sg/ newgrp仅限于btw）允许更改为用户数据库中定义的组，该组不必与该进程的辅助标识列表相同。

cp /usr/bin/env .
chgrp any-sup-group env
chmod g+s ./env

执行后env，您的egid切换到any-sup-group。