Como evitar Hacks permissões de arquivo para Sistemas Linux

É uma boa idéia para verificar suas permissões de arquivo para evitar hacks no Linux. Os hackers podem usar isso para sua vantagem se você não for cuidadoso. No Linux, tipos de arquivos especiais permitem que programas sejam executados com os direitos do proprietário do arquivo:

  • SetUID (para o usuário IDs)

  • SetGID (para o grupo IDs)

Setuid e setgid são necessários quando um usuário executa um programa que precisa de acesso completo ao sistema para executar suas tarefas. Por exemplo, quando um usuário chama o programa passwd para alterar sua senha, o programa está realmente carregado e executado sem privilégios raiz ou de qualquer outro usuário.

Isto é feito para que o usuário pode executar o programa eo programa pode atualizar o banco de dados de senha sem a conta root estar envolvido no processo.

permissão de arquivo hacks para Linux

Por padrão, programas maliciosos que são executados com privilégios de root pode ser facilmente escondido. Um invasor externo ou insider malicioso pode fazer isso para ocultar arquivos de hackers, tais como rootkits, no sistema. Isto pode ser feito com codificação de setuid e setgid em seus programas de hacking.

Contramedidas contra o Linux ataques de permissão de arquivo

Você pode testar programas maliciosos usando ambos os métodos de testes manuais e automatizados.

Os testes manuais

Os seguintes comandos podem identificar e imprimir para o SetUID tela e programas SETGID:

  • Programas que estão configurados para SetUID:

    find / -perm -4000 -print

  • Programas que estão configurados para SetGID:

    find / -perm -2000 -print

  • Arquivos que podem ser lidos por qualquer pessoa no mundo:

    find / -perm -2 do tipo f -print

  • arquivos ocultos:

    find / -name ". *"

Você provavelmente tem centenas de arquivos em cada uma dessas categorias, por isso não se assuste. Quando você descobre arquivos com esses atributos definidos, você precisa ter certeza de que eles são realmente suposto ter esses atributos, pesquisando na documentação ou na Internet, ou comparando-os a um sistema seguro conhecido ou backup de dados.

Manter um olho em seus sistemas para detectar quaisquer novos arquivos setuid ou setgid que aparecem de repente.

teste automático

Você pode usar um programa automatizado de auditoria de arquivos de modificação para alertá-lo quando são feitos esses tipos de alterações. É muito mais fácil em uma base contínua:

  • Um aplicativo de detecção de mudanças, tais como Tripwire, pode ajudá-lo a acompanhar o que mudou e quando.

  • Um programa de arquivo-monitoramento, tais como COPS, acha arquivos que foram alterados no status (como uma nova SetGID SetUID ou removido).

Semelhante

menu