Páginas

domingo, 14 de febrero de 2010

Archivos SUID, SGID y de escritura universal

Probado en Gentoo Linux.

Los archivos con SUID sirven para ejecutar procesos con privilegios de administrador.

Buscar con el comando find los SUID:
# find / -type f -perm - 4000 -ls

337278   56 -rws--x--x   1 root     root        52320 feb 12 07:34 /bin/umount
301984   32 -rws--x--x   1 root     root        32552 ene 16 01:14 /bin/su
337101   76 -rws--x--x   1 root     root        73720 feb 12 07:34 /bin/mount
302015   40 -rws--x--x   1 root     root        38496 ene 16 01:14 /bin/passwd
302023   36 -rws--x--x   1 root     root        35544 ene 15 23:56 /bin/ping
826703   12 -rws--x--x   1 root     root         9548 feb 12 08:51 /usr/lib32/misc/glibc/pt_chown
604307   56 -rws--x--x   1 root     root        51104 ene 16 01:14 /usr/bin/gpasswd
604508   32 -rws--x--x   1 root     root        32200 ene 16 01:14 /usr/bin/newgrp
605877   64 -rws--x--x   1 root     root        58816 ene 16 01:14 /usr/bin/chage
605431   36 -rws--x--x   1 root     root        32800 ene 16 01:14 /usr/bin/chsh
721339   20 -rws--x--x   1 root     root        18776 ene 15 23:56 /usr/sbin/traceroute
604705   44 -rws--x--x   1 root     root        41632 ene 16 01:14 /usr/bin/chfn
....

Los usuarios normales no deberían tener acceso a los archivos de configuración o contraseñas. Por motivos de seguridad es importante que los permisos de ficheros sean correctos. Si está seguro que un archivo sólo es usado por root, asígnele los permisos 0600 y el usuario correcto al fichero con chown.

Los chicos de Gentoo linux nos recomiendan desactivar el bit SUID en ping, mount, umount, chfn, chsh, newgrp, suidperl, pt_chown y traceroute usando chmod -s en cada fichero.

# chmod -s /usr/sbin/traceroute
# chmod -s /bin/mount
# chmod -s /bin/umount
...

Localizar los archivos SGID:
# find / type f -perm -2000 -ls

Consulte lal página man, la documentación de usuario y los HowTo si el autor o cualquier otro experto recomiendan la eliminación del bit SUID/SGID del programa en cuestión.

Archivos de escritura universal
Los archivos reservados no deben configurarse como de escritura universal impidiendo así la modificación del archivo a cualquier usuario. Entre los más comunes se encuentran los archivos de iniciación del sistema, archivos críticos de configuración del sistema y de arranque del usuario.

Buscar archivos de escritura universal:
# find / -perm -2 -type f -print
/usr/bin/xine

Cambiamos los permisos de /usr/bin/xine
# chmod 555 /usr/bin/xine

Ejecutamos nuevamente find / -perm -2 -type f -print:
# find / -perm -2 -type f -print

El resultado es cero archivos de escritura universal.
¡Feliz San Valentín!.

Sientase libre de hacer cualquier comentario que complemente, aclare o corrija el texto anterior.
Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)