Inhoudsopgave:
Video: The Moonpig Bug: How 3,000,000 Customers' Details Were Exposed 2024
Het is een goed idee om uw bestandsrechten te controleren om hacks in Linux te voorkomen. Hackers kunnen dit in hun voordeel gebruiken als u niet voorzichtig bent. In Linux kunnen speciale bestandstypen programma's uitvoeren met de rechten van de eigenaar van het bestand:
-
SetUID (voor gebruikers-ID's)
-
SetGID (voor groeps-ID's)
SetUID en SetGID zijn vereist wanneer een gebruiker een programma uitvoert dat moet worden uitgevoerd volledige toegang tot het systeem om zijn taken uit te voeren. Wanneer een gebruiker bijvoorbeeld het passwd-programma oproept om zijn of haar wachtwoord te wijzigen, wordt het programma feitelijk geladen en uitgevoerd zonder root of de privileges van een andere gebruiker.
Dit wordt gedaan zodat de gebruiker het programma kan uitvoeren en het programma de wachtwoorddatabase kan bijwerken zonder dat het root-account bij het proces betrokken is.
File permission hacks naar Linux
Standaard kunnen kwaadaardige programma's die worden uitgevoerd met rootprivileges eenvoudig worden verborgen. Een externe aanvaller of kwaadwillende insider kan dit doen om hackingbestanden, zoals rootkits, op het systeem te verbergen. Dit kan gedaan worden met SetUID en SetGID-codering in hun hackprogramma's.
Tegenmaatregelen tegen Linux-machtigingen voor bestandsrechten
U kunt testen op frauduleuze programma's door zowel handmatige als geautomatiseerde testmethoden te gebruiken.
Handmatig testen
De volgende opdrachten kunnen het scherm SetUID en SetGID-programma's identificeren en afdrukken:
-
Programma's die zijn geconfigureerd voor SetUID:
vinden / -perm -4000 -print
-
Programma's die zijn geconfigureerd voor SetGID:
vinden / -perm -2000 -print
-
Bestanden die door iedereen in de wereld kunnen worden gelezen:
vinden / -perm -2 -type f-print
-
Verborgen bestanden:
find / -name ". *"
U hebt waarschijnlijk honderden bestanden in elk van deze categorieën, dus wees niet gealarmeerd. Wanneer u bestanden met deze kenmerken ontdekt, moet u ervoor zorgen dat ze deze kenmerken daadwerkelijk hebben door te onderzoeken in uw documentatie of op internet, of door ze te vergelijken met een bekend beveiligd systeem of een gegevensback-up.
Houd uw systemen in de gaten om nieuwe SetUID- of SetGID-bestanden te detecteren die plotseling verschijnen.
Automatisch testen
U kunt een geautomatiseerd controlesysteem voor het wijzigen van bestanden gebruiken om u te waarschuwen wanneer dit soort wijzigingen wordt aangebracht. Het is een stuk eenvoudiger op een permanente basis:
-
Een toepassing voor wijzigingstherapie, zoals Tripwire, kan u helpen bij te houden wat er is gewijzigd en wanneer.
-
Een bestandbewakingsprogramma, zoals COPS, vindt bestanden die in status zijn gewijzigd (zoals een nieuwe SetUID of verwijderde SetGID).