很可能您的Linux服务器安装的软件包比您真正需要的多。

更糟糕的是，这些另外的包可能包含少数启用了setuid和setguid的二进制文件。这可能会导致不必要的风险，因为您的一些shell用户利用此漏洞获取根权限可能只是时间问题。
下面的linux命令使用setuid和setgid创建系统上所有可执行文件的列表。

find / * -perm +6000 -type f -exec ls -ld {} \; > setugid.txt

仔细查看setugid.txt列表，并使用以下命令从二进制文件中删除“s”位：

# chmod a-s /path/to/binary/file

注意，您不必（或者不应该）从找到的所有二进制文件中删除setuid和setgid。您应该只从未使用的二进制文件开始。通过从可执行二进制文件中删除setuid和setgid，您不会使此可执行文件无法使用，但是，只有超级用户能够通过执行这些二进制文件来将其付诸实施。