去除程序文件中非必须的set-uid或set-gid附加权限

(1)查找系统中设置set-uid或set-gid权限的文件。
find / -type f -perm +6000 -exec lh {} \;


（2）编辑Shell脚本，检查系统中新增加的带有suid或sgid位权限的程序文件。
1、在系统处于 “干净”状态（没有设置不当set位权限的文件）时，建立合法suid/sgid文件的列表，作为是否有新增可疑suid文件的比较依据。
[root@localhost ~]# find / -type f -perm +6000 > /etc/test
[root@localhost ~]# chmod 600 /etc/test
[root@localhost ~]# vim /usr/sbin/test1
#! /bin/bash
OLD_LIST=/etc/test1
for i in `find / -type f -perm +6000`
do
    grep -F "$i $OLD_LIST" > /dev/null
    [ $? -ne 0 ] && ls -lh $i
done
[root@localhost ~]# chmod 700 /usr/sbin/test1
[root@localhost ~]# test1