Isi kandungan:
Video: Week 8 2025
Idea yang baik untuk memeriksa kebenaran fail anda untuk mengelakkan hacks di Linux. Hacker boleh menggunakan ini untuk keuntungan mereka jika anda tidak berhati-hati. Di Linux, jenis fail khas membenarkan program dijalankan dengan hak pemilik fail:
-
SetUID (untuk ID pengguna)
-
SetGID (untuk ID kumpulan)
SetUID dan SetGID diperlukan apabila pengguna menjalankan program yang memerlukan akses penuh ke sistem untuk melaksanakan tugasnya. Contohnya, apabila pengguna memanggil program passwd untuk mengubah kata laluannya, program itu sebenarnya dimuat dan dijalankan tanpa root atau keistimewaan pengguna lain.
Ini dilakukan supaya pengguna boleh menjalankan program dan program boleh mengemas kini pangkalan data kata laluan tanpa akaun root yang terlibat dalam proses.
Hacks kebenaran fail ke Linux
Secara lalai, program penyangak yang dijalankan dengan keistimewaan root boleh dengan mudah disembunyikan. Penyerang luaran atau orang yang berniat jahat mungkin melakukan ini untuk menyembunyikan fail penggodaman, seperti rootkit, pada sistem. Ini boleh dilakukan dengan SetUID dan Kod SetGID dalam program penggodam mereka.
Penangguhan terhadap serangan kebenaran fail Linux
Anda boleh menguji program penyangak dengan menggunakan kedua-dua kaedah ujian manual dan automatik.
Pengujian manual
Perintah berikut boleh mengenal pasti dan mencetak pada skrin SetUID dan program SetGID:
-
Program yang dikonfigurasi untuk SetUID:
find / -perm -4000 -print
-
Program yang dikonfigurasi untuk SetGID:
find / -perm -2000 -print
-
Fail yang boleh dibaca oleh sesiapa sahaja di dunia:
find / -perm -2 -type f -print
-
find / -name ". *"
Anda mungkin mempunyai beratus fail dalam setiap kategori ini, jadi jangan kecewa. Apabila anda menemui fail dengan atribut yang ditetapkan, anda perlu memastikan bahawa mereka sebenarnya seharusnya mempunyai atribut tersebut dengan meneliti dalam dokumentasi atau di Internet, atau dengan membandingkannya dengan sistem selamat atau sandaran data yang diketahui.
Perhatikan sistem anda untuk mengesan mana-mana fail SetUID atau SetGID baharu yang tiba-tiba muncul.
Ujian automatik
Anda boleh menggunakan program pengauditan modifikasi automatik untuk memberi isyarat kepada anda apabila jenis perubahan dibuat. Ini lebih mudah secara berterusan:
-
Aplikasi pengesanan perubahan, seperti Tripwire, dapat membantu anda menjejaki perubahan dan kapan.
-
Program pemantauan fail, seperti COPS, mendapati fail yang berubah dalam status (seperti SetUID baru atau SetGID yang dikeluarkan).
