Go to:
Gentoo Home
Documentation
Forums
Lists
Bugs
Planet
Store
Wiki
Get Gentoo!
Gentoo's Bugzilla – Attachment 102268 Details for
Bug 129998
[ru] Gentoo Security Handbook started translation
Home
|
New
–
[Ex]
|
Browse
|
Search
|
Privacy Policy
|
[?]
|
Reports
|
Requests
|
Help
|
New Account
|
Log In
[x]
|
Forgot Password
Login:
[x]
shb-perms.xml v 1.1
shb-perms.xml (text/plain), 9.72 KB, created by
Azamat H. Hackimov
on 2006-11-18 06:39:33 UTC
(
hide
)
Description:
shb-perms.xml v 1.1
Filename:
MIME Type:
Creator:
Azamat H. Hackimov
Created:
2006-11-18 06:39:33 UTC
Size:
9.72 KB
patch
obsolete
><?xml version='1.0' encoding='UTF-8'?> ><!-- $Header: /var/www/viewcvs.gentoo.org/raw_cvs/gentoo/xml/htdocs/doc/en/security/shb-perms.xml,v 1.4 2006/09/18 09:22:48 neysx Exp $ --> ><!DOCTYPE sections SYSTEM "/dtd/book.dtd"> > ><!-- The content of this document is licensed under the CC-BY-SA license --> ><!-- See http://creativecommons.org/licenses/by-sa/1.0 --> > ><sections> > ><version>1.1</version> ><date>2006-09-16</date> > ><section> ><title>ФайлÑ, доÑÑÑпнÑе по ÑÑÐµÐ½Ð¸Ñ Ð´Ð»Ñ Ð²ÑÐµÑ </title> ><body> > ><p> >ÐбÑÑнÑе полÑзоваÑели не Ð´Ð¾Ð»Ð¶Ð½Ñ Ð¸Ð¼ÐµÑÑ Ð´Ð¾ÑÑÑп к конÑигÑÑаÑионнÑм Ñайлам или >паÑолÑм. ÐÑакÑÑÑий Ð¼Ð¾Ð¶ÐµÑ ÑкÑаÑÑÑ Ð¿Ð°Ñоли к базе даннÑÑ Ð¸Ð»Ð¸ веб-ÑайÑÑ Ð¸ >иÑполÑзоваÑÑ Ð¸Ñ Ð´Ð»Ñ Ð´ÐµÑейÑа или даже Ñ Ñже — Ð´Ð»Ñ ÑÐ´Ð°Ð»ÐµÐ½Ð¸Ñ Ñайлов. ÐÐ¾Ñ >поÑÐµÐ¼Ñ Ð²Ð°Ð¶Ð½Ð¾ пÑавилÑно ÑÑÑановиÑÑ ÑазÑеÑÐµÐ½Ð¸Ñ Ð½Ð° ÑайлÑ. ÐÑли Ð²Ñ ÑвеÑенÑ, ÑÑо >опÑеделеннÑй Ñайл Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑÑÑ ÑолÑко ÑÑпеÑполÑзоваÑелем, ÑÑÑановиÑе >Ð´Ð»Ñ Ð½ÐµÐ³Ð¾ пÑава <c>0600</c> и назнаÑÑÑе ÐµÐ¼Ñ Ð¿ÑавилÑного владелÑÑа Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ><c>chown</c>. ></p> > ></body> ></section> ><section> ><title>ФайлÑ, доÑÑÑпнÑе по запиÑи Ð´Ð»Ñ Ð³ÑÑÐ¿Ð¿Ñ Ð¸Ð»Ð¸ Ð´Ð»Ñ Ð²ÑÐµÑ </title> ><body> > ><pre caption="ÐоиÑк Ñайлов, доÑÑÑпнÑÑ Ð¿Ð¾ запиÑи вÑем"> ># <i>find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; 2>/dev/null >writable.txt</i> ># <i>find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; 2>/dev/null >>writable.txt</i> ></pre> > ><p> >ÐÑи ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ ÑоздадÑÑ Ð¾Ð³ÑомнÑй Ñайл, ÑодеÑжаÑий имена Ñайлов, коÑоÑÑе имеÑÑ >пÑава на запиÑÑ Ð´Ð»Ñ Ð³ÑÑÐ¿Ð¿Ñ Ð¸ вÑÐµÑ Ð¾ÑÑалÑнÑÑ . ÐÑовеÑÑÑе Ð¸Ñ Ð¸ ÑÑÑÑаниÑе >ненÑжнÑе пÑава, запÑÑÑив Ð´Ð»Ñ Ñайлов ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ <c>/bin/chmod o-w</c>. ></p> > ></body> ></section> ><section> ><title>Ð¤Ð°Ð¹Ð»Ñ SUID/SGID</title> ><body> > ><p> >Ð¤Ð°Ð¹Ð»Ñ Ñ Ð±Ð¸Ñами SUID или SGID бÑдÑÑ Ð·Ð°Ð¿ÑÑÐµÐ½Ñ Ñ Ð¿ÑивелегиÑми <e>владелÑÑа или >гÑÑÐ¿Ð¿Ñ Ð²Ð»Ð°Ð´ÐµÐ»ÑÑа</e>, а не Ñ Ð¿ÑивелегиÑми запÑÑÑивÑего Ð¸Ñ Ð¿Ð¾Ð»ÑзоваÑелÑ. ÐбÑÑно >ÑÑо иÑполÑзÑеÑÑÑ Ð´Ð»Ñ Ñайлов, коÑоÑÑе Ð´Ð¾Ð»Ð¶Ð½Ñ Ð·Ð°Ð¿ÑÑкаÑÑÑÑ Ñ Ð¿Ñавами >ÑÑпеÑполÑзоваÑÐµÐ»Ñ Ð´Ð»Ñ Ð²ÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð½ÐµÐ¾Ð±Ñ Ð¾Ð´Ð¸Ð¼ÑÑ Ð·Ð°Ð´Ð°Ñ. ÐÑи ÑайлÑ, еÑли ÑодеÑÐ¶Ð°Ñ >ÑÑзвимоÑÑи, могÑÑ ÑÑаÑÑ Ð¸ÑÑоÑником повÑÑÐµÐ½Ð¸Ñ Ð¿Ñивелегий локалÑнÑм >полÑзоваÑелем. ÐÑо Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ Ð¾Ð¿Ð°ÑнÑм, поÑÑÐ¾Ð¼Ñ Ñ Ð¿Ð¾Ð´Ð¾Ð±Ð½ÑÑ Ñайлов Ð½ÐµÐ¾Ð±Ñ Ð¾Ð´Ð¸Ð¼Ð¾ >лÑбой Ñеной ÑдалиÑÑ ÑÑÑановленнÑй Ð±Ð¸Ñ SUID или SGID. ÐÑли Ð²Ñ Ð½Ðµ иÑполÑзÑеÑе ÑÑи >ÑайлÑ, запÑÑÑиÑе Ð´Ð»Ñ Ð½Ð¸Ñ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ <c>chmod 0</c> или ÑдалиÑе пакеÑ, ÑÑÑановивÑий >ÑÑÐ¾Ñ Ñайл (пÑовеÑиÑÑ, ÐºÐ°ÐºÐ¾Ð¼Ñ Ð¿Ð°ÐºÐµÑÑ Ð¿ÑÐ¸Ð½Ð°Ð´Ð»ÐµÐ¶Ð¸Ñ Ð¾Ð¿ÑеделеннÑй Ñайл, можно Ñ >помоÑÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ <c>equery</c>; еÑли Ñ Ð²Ð°Ñ ÐµÐµ еÑе неÑ, Ñо, ÑÑÐ¾Ð±Ñ ÑÑÑановиÑÑ ÐµÐµ, >пÑоÑÑо набеÑиÑе <c>emerge gentoolkit</c>). ÐнаÑе пÑоÑÑо ÑдалиÑе Ð±Ð¸Ñ SUID Ñ >помоÑÑÑ <c>chmod -s</c>. ></p> > ><pre caption="ÐоиÑк Ñайлов Ñ setuid"> ># <i>find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \; 2>/dev/null >suidfiles.txt</i> ></pre> > ><p> >ÐÑа команда ÑоздаÑÑ Ñайл, ÑодеÑжаÑий ÑпиÑок вÑÐµÑ SUID/SGID-Ñайлов. ></p> > ><pre caption="СпиÑок Ñайлов Ñ setuid"> >/bin/su >/bin/ping >/bin/mount >/bin/umount >/var/qmail/bin/qmail-queue >/usr/bin/chfn >/usr/bin/chsh >/usr/bin/crontab >/usr/bin/chage >/usr/bin/expiry >/usr/bin/sperl5.6.1 >/usr/bin/newgrp >/usr/bin/passwd >/usr/bin/gpasswd >/usr/bin/procmail >/usr/bin/suidperl >/usr/lib/misc/pt_chown >/usr/sbin/unix_chkpwd >/usr/sbin/traceroute >/usr/sbin/pwdb_chkpwd ></pre> > ><p> >Ðо ÑмолÑÐ°Ð½Ð¸Ñ Ð² Gentoo Linux не Ñак много Ñайлов Ñ Ð±Ð¸Ñом SUID (Ñ Ð¾ÑÑ ÑÑо завиÑÐ¸Ñ >Ð¾Ñ Ñипа ваÑей ÑÑÑановки), но Ñ Ð²Ð°Ñ Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð»ÑÑиÑÑÑÑ ÑпиÑок, пÑедÑÑавленнÑй >вÑÑе. ÐолÑÑинÑÑво команд иÑполÑзÑеÑÑÑ ÑолÑко ÑÑпеÑполÑзоваÑелем. УдалиÑе >SUID-Ð±Ð¸Ñ Ñ <c>ping</c>, <c>mount</c>, <c>umount</c>, <c>chfn</c>, <c>chsh</c>, ><c>newgrp</c>, <c>suidperl</c>, <c>pt_chown</c> и <c>traceroute</c>, запÑÑÑив >Ð´Ð»Ñ ÐºÐ°Ð¶Ð´Ð¾Ð³Ð¾ из Ð½Ð¸Ñ <c>chmod -s</c>. Ðе ÑдалÑйÑе Ð±Ð¸Ñ Ñ <c>su</c>, ><c>qmail-queue</c> или <c>unix_chkpwd</c>. Удалив setuid Ñ ÑÑÐ¸Ñ Ñайлов, Ð²Ñ Ð½Ðµ >ÑможеÑе ÑÑаÑÑ ÑÑпеÑполÑзоваÑелем и полÑÑаÑÑ Ð¿Ð¾ÑÑÑ. УдалÑÑ Ð±Ð¸Ñ (Ñам, где ÑÑо >безопаÑно), Ð²Ñ Ð¸ÑклÑÑаеÑе возможноÑÑÑ Ð¾Ð±ÑÑного полÑзоваÑÐµÐ»Ñ (или >злоÑмÑÑленника) полÑÑиÑÑ Ð¿Ñава ÑÑпеÑполÑзоваÑÐµÐ»Ñ Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ ÑÑÐ¸Ñ Ñайлов. ></p> > ><p> >Рмоей ÑиÑÑеме еÑÑÑ ÑолÑко неÑколÑко SUID-Ñайлов: <c>su</c>, <c>passwd</c>, ><c>gpasswd</c>, <c>qmail-queue</c>, <c>unix_chkpwd</c> и <c>pwdb_chkpwd</c>. Ðо >еÑли Ñ Ð²Ð°Ñ Ð·Ð°Ð¿ÑÑен X-ÑеÑвеÑ, Ñо в ваÑей ÑиÑÑеме Ð¸Ñ Ð±ÑÐ´ÐµÑ Ð±Ð¾Ð»ÑÑе, Ñак как X >нÑÐ¶Ð½Ñ Ð¿Ð¾Ð²ÑÑеннÑе пÑивелегии, коÑоÑÑе могÑÑ Ð±ÑÑÑ Ð¿ÑедоÑÑÐ°Ð²Ð»ÐµÐ½Ñ Ð¿Ð¾ÑÑедÑÑвом SUID. ></p> > ></body> ></section> ><section> ><title>SUID/SGID-ÑÐ°Ð¹Ð»Ñ Ð¸ жеÑÑкие ÑÑÑлки</title> ><body> > ><p> >Файл Ð¼Ð¾Ð¶ÐµÑ ÑÑиÑаÑÑÑÑ ÑдаленнÑм лиÑÑ Ð² Ñом ÑлÑÑае, когда Ð½ÐµÑ Ð±Ð¾Ð»ÑÑе ÑÑÑлок, >ÑказÑваÑÑÐ¸Ñ Ð½Ð° него. ÐÑо Ð¼Ð¾Ð¶ÐµÑ Ð·Ð²ÑÑаÑÑ ÑÑÑанно, но пÑоÑÑо ÑледÑÐµÑ Ð¿Ð¾Ð½ÑÑÑ, ÑÑо >Ñайл (напÑимеÑ, <path>/usr/bin/perl</path>) на Ñамом деле ÑвлÑеÑÑÑ ÑÑÑлкой на >inode, в коÑоÑом ÑÐ¾Ñ ÑÐ°Ð½ÐµÐ½Ñ Ð´Ð°Ð½Ð½Ñе. Ðа Ñайл Ð¼Ð¾Ð¶ÐµÑ ÑказÑваÑÑ Ð»Ñбое ÑиÑло ÑÑÑлок, >и пока ÐºÐ°Ð¶Ð´Ð°Ñ Ð¸Ñ Ð½Ð¸Ñ Ð½Ðµ бÑÐ´ÐµÑ Ñдалена, Ñайл бÑÐ´ÐµÑ ÑÑÑеÑÑвоваÑÑ. ></p> > ><p> >ÐÑли Ñ Ð²Ð°ÑÐ¸Ñ Ð¿Ð¾Ð»ÑзоваÑелей еÑÑÑ Ð´Ð¾ÑÑÑп к Ñазделам, коÑоÑÑе не ÑмонÑиÑÐ¾Ð²Ð°Ð½Ñ Ñ >паÑамеÑÑами <c>nosuid</c> или <c>noexec</c> (напÑимеÑ, еÑли <path>/tmp</path>, ><path>/home</path>, <path>/var/tmp</path> не ÑвлÑÑÑÑÑ Ð¾ÑделÑнÑми Ñазделами), Ð²Ñ >Ð´Ð¾Ð»Ð¶Ð½Ñ ÑдоÑÑовеÑиÑÑÑÑ, ÑÑо они не ÑмогÑÑ ÑоздаÑÑ Ð¶ÐµÑÑкие ÑÑÑлки на ÑÐ°Ð¹Ð»Ñ Ñ SUID >или SGID биÑами, благодаÑÑ ÑÐµÐ¼Ñ Ð¾Ð½Ð¸ могÑÑ Ð¸Ð¼ÐµÑÑ Ð´Ð¾ÑÑÑп к ÑÑÑаÑевÑим веÑÑиÑм >Ñайлов. ></p> > ><warn> >ÐÑли Ð²Ñ Ð¿Ð¾Ð»ÑÑаеÑе пÑедÑпÑÐµÐ¶Ð´ÐµÐ½Ð¸Ñ Ð¾Ð± оÑÑавÑÐ¸Ñ ÑÑ Ð¶ÐµÑÑÐºÐ¸Ñ ÑÑÑÐ»ÐºÐ°Ñ , а ваÑи >полÑзоваÑели имеÑÑ Ð´Ð¾ÑÑÑп по запиÑи к Ñазделам, позволÑÑÑим запÑÑкаÑÑ ÑÐ°Ð¹Ð»Ñ Ñ >SUID/SGID-биÑами, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð¿ÑоÑиÑаÑÑ ÑÑÐ¾Ñ Ñаздел оÑÐµÐ½Ñ Ð²Ð½Ð¸Ð¼Ð°ÑелÑно. ÐÑбой из >ваÑÐ¸Ñ Ð¿Ð¾Ð»ÑзоваÑелей Ð¼Ð¾Ð¶ÐµÑ ÑазÑÑÑиÑÑ Ð²Ð°Ñи обновлениÑ, ÑÐ¾Ñ Ñанив ÑÑÑаÑевÑÑÑ Ð²ÐµÑÑÐ¸Ñ >пÑогÑаммÑ. ÐÑли ваÑи полÑзоваÑели не могÑÑ ÑоздаваÑÑ ÑобÑÑвеннÑе ÑÐ°Ð¹Ð»Ñ Ñ Ð±Ð¸Ñом >SUID или могÑÑ ÑолÑко запÑÑкаÑÑ Ð¿ÑогÑÐ°Ð¼Ð¼Ñ Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ Ð´Ð¸Ð½Ð°Ð¼Ð¸ÑеÑкого загÑÑзÑика >(ÑазделÑ, ÑмонÑиÑованнÑе Ñ Ð¿Ð°ÑамеÑÑом <c>noexec</c>), Ñо вам не о Ñем >беÑпокоиÑÑÑÑ. ></warn> > ><note> >ÐолÑзоваÑелÑм не нÑжен доÑÑÑп по ÑÑÐµÐ½Ð¸Ñ Ð´Ð»Ñ Ñайла, ÑÑÐ¾Ð±Ñ ÑоздаÑÑ Ð½Ð° него >ÑÑÑлкÑ, им нÑжен вÑего лиÑÑ Ð´Ð¾ÑÑÑп по ÑÑÐµÐ½Ð¸Ñ Ðº каÑалогÑ, ÑодеÑжаÑÐµÐ¼Ñ ÑÑÐ¾Ñ Ñайл. ></note> > ><p> >ЧÑÐ¾Ð±Ñ Ð¿ÑовеÑиÑÑ, ÑколÑко ÑÑÑлок Ð¸Ð¼ÐµÐµÑ Ñайл, Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе иÑполÑзоваÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ ><c>stat</c>. ></p> > ><pre caption="Ðоманда stat"> >$ stat /bin/su > File: `/bin/su' > Size: 29350 Blocks: 64 IO Block: 131072 regular file >Device: 900h/2304d Inode: 2057419 Links: 1 >Access: (4711/-rws--x--x) Uid: ( 0/ root) Gid: ( 0/ root) >Access: 2005-02-07 01:59:35.000000000 +0000 >Modify: 2004-11-04 01:46:17.000000000 +0000 >Change: 2004-11-04 01:46:17.000000000 +0000 ></pre> > ><p> >ЧÑÐ¾Ð±Ñ Ð½Ð°Ð¹Ñи ÑÐ°Ð¹Ð»Ñ Ñ SUID и SGID Ñо множеÑÑвом ÑÑÑлок, Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе задейÑÑвоваÑÑ >ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ <c>find</c>. ></p> > ><pre caption="ÐоиÑк suid/sgid-Ñайлов Ñ Ð½ÐµÑколÑкими ÑÑÑлками"> >$ find / -type f \( -perm -004000 -o -perm -002000 \) -links +1 -ls ></pre> > ></body> ></section> ></sections> ><!-- *$Localization: > target-language: Russian > target-version: 1.1-r1 > target-date: 2006-11-18 > source-cvs-revision: 1.3 > translated-by: Azamat H. Hackimov <azamat.hackimov@gmail.com> > edited-by: none > notes: >-->
<b>You cannot view the attachment while viewing its details because your browser does not support IFRAMEs. <a href="attachment.cgi?id=102268">View the attachment on a separate page</a>.</b>
View Attachment As Raw
Actions:
View
Attachments on
bug 129998
:
84729
|
101478
|
101914
| 102268
