你遇到的情况在Fedora这类默认启用严格安全机制的系统里很常见，setuid位看似配置正确但不生效，大概率是系统安全策略或挂载选项在起作用，下面是几个关键的排查和解决步骤：

1. 检查SELinux限制（最可能的原因） #

Fedora 26默认开启SELinux，它会拦截不符合安全上下文的setuid程序进行权限提升。

• 临时验证：先临时关闭SELinux测试是否是它的问题：

  sudo setenforce 0
  

  切换回普通用户craig再运行程序，如果正常工作，就确认是SELinux的限制导致的。

• 永久解决：给你的二进制文件设置适配网络捕获需求的SELinux上下文：

  # 临时设置上下文，重启后会失效
  sudo chcon -t cap_net_raw_exec_t /home/craig/mybinary
  # 永久设置上下文，重启后依然生效
  sudo semanage fcontext -a -t cap_net_raw_exec_t "/home/craig/mybinary"
  sudo restorecon -v /home/craig/mybinary
  

  cap_net_raw_exec_t是专门给需要原始网络套接字权限的程序设计的安全上下文，刚好匹配libpcap的运行需求。

2. 检查/home目录的挂载选项 #

如果你的/home是单独分区挂载的，可能挂载时添加了nosuid选项——这个选项会强制忽略分区内所有文件的setuid/setgid位。

• 查看挂载信息：

  mount | grep /home
  

  若输出里包含nosuid，按以下步骤修改：
  1. 编辑/etc/fstab文件，找到/home对应的挂载行，删除nosuid选项；
  2. 重新挂载/home使设置生效：

     sudo mount -o remount /home
     

3. 改用Linux Capabilities替代setuid（更安全的方案） #

其实不需要给程序设置全量root权限，Linux的Capabilities机制可以让普通用户程序获取特定权限（比如网络捕获），比setuid更安全：

sudo setcap cap_net_raw,cap_net_admin+eip /home/craig/mybinary

这个命令给程序添加了CAP_NET_RAW和CAP_NET_ADMIN权限，刚好满足libpcap捕获流量的需求，设置后普通用户直接运行程序就能正常工作，无需依赖setuid。

4. 检查程序代码是否主动丢弃权限 #

最后排查你的C语言代码，看看有没有主动丢弃setuid权限的逻辑，比如：

setuid(getuid());

如果存在这类代码，程序会主动放弃root权限，导致即使setuid位设置正确也无法生效，需要移除相关逻辑。

内容的提问来源于stack exchange，提问作者Craig Otis