12.2. Закрываем SUID- и SGID-двери
12.2. Закрываем SUID- и SGID-двери
Как администратор или специалист по безопасности, вы должны знать свою систему от и до. Мы уже говорили, что одной из проблем может стать бит SUID или SGID. Вы должны вычистить все эти биты у программ, которыми не пользуетесь. Но как их найти? Для этого можно воспользоваться командой:
find / ( -perm -02000 -o -perm -04000 ) -ls
Эта директива найдет все файлы, у которых установлены права 02000 или 04000, что соответствует битам SUID и SGID. Выполнив команду, вы увидите на экране примерно следующий список:
130337 64 -rwsr-xr-x 1 root root 60104 Jul 29 2002 /bin/mount
133338 32 -rwsr-xr-x 1 root root 30664 Jul 29 2002 /bin/umount
130341 36 -rwsr-xr-x 1 root root 35040 Jul 19 2002 /bin/ping
130365 20 -rwsr-xr-x 1 root root 19072 Jul 10 2002 /bin/su
...
Самое страшное, что все программы из этого списка принадлежат пользователю root и будут выполняться от его имени. В системе есть файлы с SUID- и SGID-битом, выполняющиеся от имени других пользователей, но таких меньшинство.
Если вы видите, что программа не используется вами, то ее стоит удалить или снять биты. Если таких программ по вашему мнению нет, то подумайте еще раз. Может быть стоит от чего-то отказаться? Например, программа ping не является обязательной для сервера, и у нее бит SUID можно снять.
Если после корректировки привилегированных программ осталось много, то советую для начала убрать бит со всех программ. Конечно же, тогда пользователи не смогут монтировать устройства или менять себе пароль. А это им надо? Если уж возникнет острая необходимость, то всегда можно вернуть им такую возможность, восстановив SUID-бит.
А ведь можно сделать владельцем программы другую учетную запись, у которой будет меньше прав. Это сложно в реализации, потому что придется вручную изменять разрешения, но это сделает ваш сон более спокойным.
Почему необходимо регулярно проверять файлы на наличие SUID- или SGID-битов? Взломщики, проникая в систему, очень часто стремятся укрепиться в ней, сесть незаметно и при этом иметь максимальные права. Для этого может использоваться простейший метод — установка SUID-бита на интерпретатор команд bash. В этом случае интерпретатор для любого пользователя будет выполнять команды с правами root, и взломщику для выполнения любых действий достаточно находиться в системе с гостевыми правами.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Двери из булыжника и поршня
Двери из булыжника и поршня Поршни и липкие поршни используются во многих механизмах из красного камня, поскольку они сдвигают блок, находящийся прямо перед ними. Они нужны для сбора урожая, истребления мобов, движения лифтов и создания раздвижных дверей. Создайте
Двери
Двери Для построения дверей активизируйте категорию Geometry (Геометрия) вкладки Create (Создание) командной панели и в раскрывающемся cписке подкатегорий (там, где написано Standard Primitives (Стандартные примитивы)) выберите группу объектов Doors (Двери). В свитке Object Type (Тип объекта)
10.4.1. Программы с установленным битом SUID
10.4.1. Программы с установленным битом SUID Выше было показано, как процесс пользователя root может временно принять на себя права другого пользователя или отказаться от специальных привилегий, изменив свои реальный и эффективный идентификаторы. Но вот загадка: может ли
Открытые двери
Открытые двери Выпустите данные в мир через RSS, API и т.п.Не пытайтесь запереть ваших клиентов. Позвольте им получить принадлежащую им информацию когда они хотят и как они хотят. Для этого вам придется отказаться от идеи запечатать данные. Выпустите их. Дайте людям доступ к
Настройка параметров двери
Настройка параметров двери Нажатие кнопки откроет окно Door Default Settings (Настройки параметров двери по умолчанию) (рис. 6.5).Не стоит пугаться обилия параметров. Их большое количество говорит о возможности воплотить в жизнь практически любую фантазию. Рассмотрим настройку
Двери
Двери Следующим объектом, который мы будем рассматривать, является дверь. Настройки для данного элемента вызываются с помощью команды меню Опции ? Двери. При этом, как и для стен, будет вызвано окно с настройками того объекта, команда создания которого является активной в
Настройка параметров двери
Настройка параметров двери Если щелкнуть на кнопке Settings Dialog (Окно настроек) то на экране откроется окно настройки параметров двери по умолчанию (рис. 5.5). Рис. 5.5. Окно настроек двериБеглый взгляд на многообразие элементов управления поначалу может напугать, но попробуйте
1.6. Биты смены идентификаторов (SUID и SGID)
1.6. Биты смены идентификаторов (SUID и SGID) Биты SUID (Set User ID — установить идентификатор пользователя) и SGID (Set Group ID — установить идентификатор группы) были предметом жарких споров на протяжении многих лет. В некоторых системах установка этих битов не допускается либо они
1.6.2. Установка битов SUID и SGID
1.6.2. Установка битов SUID и SGID Чтобы установить бит SUID, вставьте цифру 4 перед числом, задающим режим доступа. Биту SGID соответствует цифра 2. Если одновременно устанавливаются оба бита, следует ввести цифру 6 (4 + 2).В строке режима установленные биты SUID и SGID обозначаются
Переизобретение двери: непрактично, но впечатляюще Николай Маслухин
Переизобретение двери: непрактично, но впечатляюще Николай Маслухин Опубликовано 11 февраля 2014 Австрийский дизайнер Клеменс Тоглер (Klemens Torggler) создал концепт двери Evolution Door, имеющей принципиально другой способ открывания. Честно говоря, при