¿Cómo evitar los hacks de permisos de archivos en los sistemas linux

Es una buena idea para comprobar sus permisos de archivo para evitar cortes en Linux. Los hackers pueden utilizar esto para su ventaja si usted no tiene cuidado. En Linux, los tipos de archivos especiales permiten que los programas se ejecuten con los derechos del titular del archivo:

  • SetUID (para los ID de usuario)

  • Setgid (por ID de grupo)

Setuid y setgid se requieren cuando un usuario ejecuta un programa que necesita acceso total al sistema para llevar a cabo sus tareas. Por ejemplo, cuando un usuario invoca el programa passwd para cambiar su contraseña, el programa se carga en realidad y correr sin raíz o privilegios de cualquier otro usuario.

Esto se hace para que el usuario pueda ejecutar el programa y el programa se puede actualizar la base de datos contraseña sin la cuenta de root está involucrado en el proceso.

El permiso del archivo hacks para Linux

Por defecto, programas maliciosos que se ejecutan con privilegios de root pueden ser fácilmente oculta. Un atacante externo o información privilegiada maliciosos pueden hacer esto para ocultar archivos de hacking, como rootkits, en el sistema. Esto se puede hacer con la codificación setuid y setgid en sus programas de hacking.

Las contramedidas contra los ataques de los permisos de archivos de Linux

Puede probar programas maliciosos utilizando ambos métodos de pruebas manuales y automatizadas.

Pruebas manuales

Los siguientes comandos pueden identificar e imprimir a la SetUID pantalla y programas setgid:

  • Los programas que están configurados para SetUID:

    find / -perm -4000 -print
  • Los programas que están configurados para setgid:

    find / -perm -2000 -print
  • Archivos que se pueden leer por cualquier persona en el mundo:

    find / -perm -2 -type f -print
  • Los archivos ocultos:

    find / -name ". *"

Usted probablemente tiene cientos de archivos en cada una de estas categorías, por lo que no se alarme. Cuando descubres archivos con estos atributos establecidos, es necesario asegurarse de que se supone en realidad tener esos atributos por la investigación en su documentación o en el Internet, o comparándolos con un sistema seguro conocido o copia de seguridad de datos.

Mantenga un ojo en sus sistemas para detectar los nuevos archivos setuid o setgid que aparecen de repente.

Prueba automática

Puede utilizar un programa de auditoría de archivos de modificación automática para que le avise cuando se realizan este tipo de cambios. Es mucho más fácil en forma permanente:

  • Una aplicación de cambio de detección, tales como Tripwire, puede ayudar a mantener un registro de lo que ha cambiado y cuándo.

  • Un programa de archivos de seguimiento, tales como COPS, encuentra los archivos que han cambiado en la situación (como una nueva setgid SetUID o eliminado).




» » » » ¿Cómo evitar los hacks de permisos de archivos en los sistemas linux