Обычные пользователи не должны иметь доступ к конфигурационным файлам или
паролям. Атакующий может украсть пароли к базе данных или веб-сайту и
использовать их для дефейса или даже хуже — для удаления файлов. Вот
почему важно правильно установить разрешения на файлы. Если вы уверены, что
определенный файл может использоваться только суперпользователем, установите
для него права
# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; 2>/dev/null >writable.txt # find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; 2>/dev/null >>writable.txt
Эти команды создадут огромный файл, содержащий имена файлов, которые имеют
права на запись для группы и всех остальных. Проверьте их и устраните
ненужные права, запустив для файлов команду
Файлы с битами SUID или SGID будут запущены с привелегиями
# find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; 2>/dev/null >suidfiles.txt
Эта команда создаст файл, содержащий список всех SUID/SGID-файлов.
/bin/su /bin/ping /bin/mount /bin/umount /var/qmail/bin/qmail-queue /usr/bin/chfn /usr/bin/chsh /usr/bin/crontab /usr/bin/chage /usr/bin/expiry /usr/bin/sperl5.6.1 /usr/bin/newgrp /usr/bin/passwd /usr/bin/gpasswd /usr/bin/procmail /usr/bin/suidperl /usr/lib/misc/pt_chown /usr/sbin/unix_chkpwd /usr/sbin/traceroute /usr/sbin/pwdb_chkpwd
По умолчанию в Gentoo Linux не так много файлов с битом SUID (хотя это зависит
от типа вашей установки), но у вас может получиться список, представленный
выше. Большинство команд используется только суперпользователем. Удалите
SUID-бит с
В моей системе есть только несколько SUID-файлов:
Файл может считаться удаленным лишь в том случае, когда нет больше ссылок,
указывающих на него. Это может звучать странно, но просто следует понять, что
файл (например,
Если у ваших пользователей есть доступ к разделам, которые не смонтированы с
параметрами
Чтобы проверить, сколько ссылок имеет файл, вы можете использовать команду
$ stat /bin/su File: `/bin/su' Size: 29350 Blocks: 64 IO Block: 131072 regular file Device: 900h/2304d Inode: 2057419 Links: 1 Access: (4711/-rws--x--x) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2005-02-07 01:59:35.000000000 +0000 Modify: 2004-11-04 01:46:17.000000000 +0000 Change: 2004-11-04 01:46:17.000000000 +0000
Чтобы найти файлы с SUID и SGID со множеством ссылок, вы можете задействовать
команду
$ find / -type f \( -perm -004000 -o -perm -002000 \) -links +1 -ls