LINUX.ORG.RU

> * SUID и SGID файлы в вашей системе являются потенциальными
> носителями риска вашей безопасности, поэтому должны быть под
> постоянным и тщательным наблюдением. Поскольку эти программы
> предоставляют специальные привилегии пользователям, которые
> запускают их, необходимо убедиться, что небезопасные программы не
> установлены. Любимым приемом кракеров является разработка программ
> с SUID "root", и затем оставлять их в системе как "черный ход" для
> получения доступа в следующий раз, даже если изначально
> использованная "дыра" уже и будет закрыта.
> Найдите все SUID/SGID программы в вашей системе и посмотрите, что
> они из себя представляют, таким образом вы будете знать, что любое
> изменение в них является индикатором возможного взлома. Чтобы найти
> все SUID/SGID программы в вашей системе используйте следующую
> команду:
>
> root# find / -type f \( -perm -04000 -o -perm -02000 \)
>
> Вы можете дискриминативно убрать все SUID или SGID права для всех
> подозрительных программ используя chmod(1), а затем поставить
> обратно, если вы будете абсолютно уверены в необходимости этого.
(c) http://rus-linux.net/MyLDP/HOWTO-ru/Security-HOWTO/Security-HOWTO-5.html

saahriktu ★★★★★
()
Ответ на: комментарий от Marmirus

>не чем, ибо suid на скрипт невозможно поставить
можно:
>chmod 4755 bincount.sh
>ls -l bincount.sh
-rwsr-xr-x 1 saahriktu saahriktu 131 Янв 6 15:58 bincount.sh

saahriktu ★★★★★
()
Ответ на: комментарий от Marmirus

suid sgid не дают привилегий суперпользователя. они лишь заставляют процесс запускаться от пользователя/группы которая владеет файлом программы.

следствия:

1) если владелец не root, то не всё так страшно
2) на скрипты можно повесить владельца root, sgid и suid, но оболочка не будет запускать интерпретатор с такими привилегиями, так как у самого файла интерпретатора (sh/bash...) нет suid sgid. Одна из программ, которая имеет sgid/suid, и позволяет т.о. сменить текущие привилегии - это su/sudo, но тут уже требуется пароль :)

scaldov ★★
()

Ни чем, его поставить можно, но действовать не будет. Скрипты не являются исполнимыми файлами на самом деле, они исполняются интерпретатором, который сиуд флага не имеет.

mrco ★★
()
Ответ на: комментарий от mrco

Спасибо, вопрос исчерпан. Как это я сам не догадался.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.