夜空

  linux系统中具有suid权限的文件,让人又爱又恨.suid带来的好处是可以在某些时候可以让user执行某些只能root执行的文件(如:passwd,ping,mount等),坏处就是万一这个suid的管理上有漏洞,就容易被有心人士利用,并控制主机.其实利用suid来提权,来放后门控制linux主机,在黑客界已经不是秘密,网上随便搜就能够搜到几篇文章,今天这里不讲怎么利用suid来攻击,只讲下怎么检查系统中的suid文件.
检查命令如下:

find / -perm +4000 -user root -type f -print
find / -perm +2000 -group root -type f -print

当然你也可以用下面的命令:

find / -uid 0 –perm -4000 –print
find / -type f -perm +6000
find / -path '/proc' -prune -or -perm -u+s -exec ls -l {} \;

以上这些命令都可以帮你检查,如果想定时检查,那么我推授下面的2个shell脚本,但这个有个小问题就是必须要你在新装的系统上先执行这2个命令:

find / -path '/proc' -prune -or -perm -u+s -exec ls -l {} \; > /tmp/suidlist-init
find /  -type f -perm +6000 > /etc/sfilelist

然后才能定时使用这2个脚本:
cat /root/soft_shell/check-suid.sh

#!/bin/bash
OLD_LIST=/etc/sfilelist
for i in `find / -type f -perm +6000`
do
        grep -F "$i" $OLD_LIST >/dev/null
        [ $? -ne 0 ] && ls -lh $i
done 

cat /root/soft_shell/checksuid.sh

#!/bin/bash
LOGFILE="/tmp/suidlist-`date +%Y-%m-%d`"
RESULTFILE="/tmp/suid_check_result-`date +%Y-%m-%d`"

find / -path '/proc' -prune -or -perm -u+s -exec ls -l {} \; > $LOGFILE
diff /tmp/suidlist-init "$LOGFILE" > $RESULTFILE

mutt -s "SUID CHECK RESULT" root < $RESULTFILE

然后定时计划里加入:
crontab -e
0 3 * * * /root/soft_shell/checksuid.sh
或者
0 3 * * * /root/soft_shell/check-suid.sh

这样就可以定时检查系统中suid文件了.

ps:
http://go-linux.blogspot.jp/2007/03/suid.html
http://icooke.blog.51cto.com/4123148/938331

夜空- 本站版权

1、本站所有主题由该文章作者发表，该文章作者与夜空享有文章相关版权
2、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和夜空的同意
3、本帖部分内容转载自其它媒体，但并不代表本站赞同其观点和对其真实性负责
4、如本帖侵犯到任何版权问题，请立即告知本站，本站将及时予与删除并致以最深的歉意
5、原文链接：blog.slogra.com/post-612.html

标签: linux 安全 检查 系统 check suid sgid