Безопасность и оптимизация Linux.Редакция для Red Hat

Биты программ подчиненных пользователю root.


Все программы и файлы в вашем компьютере с символом “s” в поле режима доступа имеют включенным бит SUID (-rwsr-xr-x) или SGID (-r-xr-sr-x). Так как эти программы дают особые привилегии пользователям которые их выполняют, то важно удалить бит “s” с программ владельцем которых является root и которым не нужны подобные возможности. Это осуществляется выполнением команды 'chmod a-s' с именем файла(ов) в качестве аргумента.

К таким программам относятся:

    Программы, которые никогда не используются.

    Программы, которые должен запускать только root.

    Программы используемые редко и которые могут использоваться через механизм su root

    Мы поместили знак * рядом с программами для которых , бит s должен быть снят. Помните, что для корректной работы системы необходимы некоторые suid-ные программы.

    Для нахождения всех файлов имеющих бит “s” и владельцами которых является root используйте команду:
    [root@deep]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls –lg {} \;

    *-rwsr-xr-x 1 root root 35168 Sep 22 23:35 /usr/bin/chage *-rwsr-xr-x 1 root root 36756 Sep 22 23:35 /usr/bin/gpasswd *-r-xr-sr-x 1 root tty 6788 Sep 6 18:17 /usr/bin/wall -rwsr-xr-x 1 root root 33152 Aug 16 16:35 /usr/bin/at -rwxr-sr-x 1 root man 34656 Sep 13 20:26 /usr/bin/man -r-s--x--x 1 root root 22312 Sep 25 11:52 /usr/bin/passwd -rws--x--x 2 root root 518140 Aug 30 23:12 /usr/bin/suidperl -rws--x--x 2 root root 518140 Aug 30 23:12 /usr/bin/sperl5.00503 -rwxr-sr-x 1 root slocate 24744 Sep 20 10:29 /usr/bin/slocate *-rws--x--x 1 root root 14024 Sep 9 01:01 /usr/bin/chfn *-rws--x--x 1 root root 13768 Sep 9 01:01 /usr/bin/chsh *-rws--x--x 1 root root 5576 Sep 9 01:01 /usr/bin/newgrp *-rwxr-sr-x 1 root tty 8328 Sep 9 01:01 /usr/bin/write -rwsr-xr-x 1 root root 21816 Sep 10 16:03 /usr/bin/crontab *-rwsr-xr-x 1 root root 5896 Nov 23 21:59 /usr/sbin/usernetctl *-rwsr-xr-x 1 root bin 16488 Jul 2 10:21 /usr/sbin/traceroute -rwxr-sr-x 1 root utmp 6096 Sep 13 20:11 /usr/sbin/utempter -rwsr-xr-x 1 root root 14124 Aug 17 22:31 /bin/su *-rwsr-xr-x 1 root root 53620 Sep 13 20:26 /bin/mount *-rwsr-xr-x 1 root root 26700 Sep 13 20:26 /bin/umount *-rwsr-xr-x 1 root root 18228 Sep 10 16:04 /bin/ping *-rwxr-sr-x 1 root root 3860 Nov 23 21:59 /sbin/netreport -r-sr-xr-x 1 root root 26309 Oct 11 20:48 /sbin/pwdb_chkpwd

    Для отключения бита “s” введите следующие команды:
    [root@deep]# chmod a-s /usr/bin/chage


    [root@deep]# chmod a-s /usr/bin/gpasswd


    [root@deep]# chmod a-s /usr/bin/wall


    [root@deep]# chmod a-s /usr/bin/chfn


    [root@deep]# chmod a-s /usr/bin/chsh


    [root@deep]# chmod a-s /usr/bin/newgrp


    [root@deep]# chmod a-s /usr/bin/write


    [root@deep]# chmod a-s /usr/sbin/usernetctl


    [root@deep]# chmod a-s /usr/sbin/traceroute


    [root@deep]# chmod a-s /bin/mount


    [root@deep]# chmod a-s /bin/umount


    [root@deep]# chmod a-s /bin/ping


    [root@deep]# chmod a-s /sbin/netreport

    Если вы хотите узнать, что делает каждая из программ используйте руководство man. Например,
    [root@deep]# man netreport



    Содержание раздела