在 updateb 上使用 root 权限设置 setuid 有什么危险吗？

我能想到的主要原因是，在我所知道的任何发行版中updatedb都没有 setuid，所以它可能没有像通常的 setuid 程序那样受到严格审查。Evenlocate只在 Arch Linux 上是setgid：

$ stat --format %A $(which locate)
-rwxr-sr-x

这意味着它与文件所有者的组一起执行：

$ stat --format %G $(which locate)
locate

所以它作为组“定位”执行，但作为原始用户。这最大限度地减少了“定位”组可以访问的攻击面，这可能只是定位数据库。

setuid 和 setgid 很少是你作为用户需要改变自己的东西（我在 10 多年的 Linux 使用中从来不需要）。如果需要，包中的可执行文件在安装时是 setuid 或 setgid，例如locate上面或可以说是最著名的 setuid 程序，sudo：

$ stat --format %A $(which sudo)
-rwsr-xr-x

updatedb通常由 cron 作业运行。如果这对您来说不够频繁，您有几种选择：

• 只要您需要最新的文件列表，就运行sudo updatedb（无需su）。
• 增加 cron 作业的频率。这可能会在安装 cron 作业的软件包的下一次更新中被覆盖，但另一方面，它可能只会添加另一个 cron 作业。
• 添加另一个频率更高的 cron 作业。
• 以 root 身份运行服务以查看重要目录的更改并updatedb在添加或删除文件时运行。这可能已经存在（我不知道），或者您可以使用inotifywait. 只需确保两件事：
  1. 不要观察整个磁盘的变化，因为它会一直运行updatedb。
  2. 不要为updatedb 每个文件更改运行一个，因为那样您最终可能会背靠背运行数千个。