|
Откриване и премахване на изпълними файлове с вдигнати битове setuid/setgid
Макар че в по новите дистрибуции на Linux доста от атаките чрез изпълними файлове с вдигнати битове setuid/setgid са отстранени, всеки месец се появяват нови и нови атаки... И докато на вашата система има такива файлове, някой недоброжелател лесно може да получи достъп до вашия потребителски акаунт, а което е по лошо може да получи root достъп. Разбира се някои програми изискват битовете setuid или setgid да са вдигнати, и пълното им отстраняване ще попречи на нормалната работа на вашата систеама. Но кои от тези изпълними файлове наистина в и трябват.. Замислете се за какво работи вашата машина, и какво наистина ви е нужно... Ето една проста команда, която открива всички изпълними файлове с вдигнат бит setuid или settgid : root@user:~# find / -perm +6000 -type f -exec ls -id {} ; >setuid.txt & Командата ще създаде файла setuid.txt, съдържащ подробна информация за всички такива файлове, открити при претърсването на вашата система. Няма да е зле да разгледате този файл и да премахнете битовете s от всеки файл, който не използвате.... На една обикновена система например ще откриете: -rws--x--x 1 root bin 35248 May 30 2004 /usr/bin/at -rws--x--x 1 root bin 10592 May 30 2004 /usr/bin/crontab Ако например не използвате тези програми можете да премахнете битовете setuid чрез: # chmod a-s /usr/bin/{at,crontab} Не е много добра идеята да деактивирате cron, тъй като огромна част от системите разчитат на задания, изпълнени в определено време.. Но кога използвахте за последно at. At е доста полезен инструмент за задаване на мащабни задания на cron, но ако не го използвате е по - добре да премахнете бита setuid от него. -rws--x--x 1 root bin 11244 Apr 10 2002 /usr/bin/disable-paste Това е част от пакета gpm(драйвер за мишка предназначен за конзолата на Linux). Прикачена ли е мишката към конзолата на тази машина.? Използвате ли я в текстов режим.?Ако, не спокойно можете да отстраните бита setuid от нея.... -r-s--s--x 1 root lp 14632 Jun 20 2003 /usr/bin/lpq -r-s--s--x 1 root lp 15788 Jun 20 2003 /usr/bin/lpr -r-s--s--x 1 root lp 15456 Jun 20 2003 /usr/bin/lprm -r-xr-s--x 1 root lp 23772 Jun 20 2003 /usr/bin/lpc Всички тези програми са част от подситемата за разпечатване на принтер. Тази машина използва ли lp за отпечатване.? -r-xr-sr--x 1 root tty 9768 Jun 21 2003 /usr/bin/wall -r-xr-sr--x 1 root tty 8504 Jun 21 2003 /usr/bin/write Както и wall така i write трябва да могат да променят групата си на tty, за да могат да пишат на терминалите на останалите потребители. Това обикновено е безопасна операция, но с нея могат да злоупотребяват хора, които обичат да изпращат безполезна информация към терминалите на другите потребители. Ако не се налага да предоставяте тази функционалност на осртаналите потребители, защо да не свалите бита setgid...? Ако го направите роот все още ще може да пише на други терминали..... -rwsr-x--x 1 root bin 14204 Feb 17 2004 /usr/bin/rcp -rwsr-x--x 1 root bin 10524 May 17 2004 /usr/bin/rlogin -r-sr-x--x 1 root bin 7956 May 17 2004 /usr/bin/rsh
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|||||||||
