Модуль FilePermissions

Этот модуль контролирует наличие бита SUID у некоторых системных программ суперпользователя. Из-за наличия данного бита такие программы могут запускаться любым пользователем. Рекомендуется снимать бит SUID, поскольку ошибки в программах могут приводить к получению несанкционированного доступа. Даже если все пользователи имеют привилегии администраторов, лучше заставить их запускать специальные программы через утилиту sudo. Если впоследствии понадобится восстановить права доступа к программным файлам, это можно будет сделать с помощью команды chmod.

Административные SUID-утилиты

В некоторых версиях Linux для утилит linuxconf, fsck, ifconfig, runlevel и portmap установлен бит SUID, вследствие чего любой пользователь может вносить изменения, традиционно разрешенные только суперпользователю. Если нужно запретить пользователям доступ к этим утилитам (или заставить их работать через утилиту sudo), ответьте Yes на соответствующий запрос. В результате бит SUID будет сброшен.

Восстановление бита SUID для файла /sbin/runlevel $ sudo chmod u+s /sbin/runlevel

Во всех системах, кроме Mandrake, стандартным ответом на запрос будет No (не сбрасывать бит SUID).

Каталоги, открытые для записи

Этот запрос выдается в HP-UX, но соответствующая проверка важна и в Linux. Модуль ищет каталоги, открытые для записи. Чтобы обеспечить целостность пользовательских данных, следует запретить пользователям создавать и удалять файлы в чужих каталогах. Если необходим совместный доступ к файлам, применяйте механизм групп, а не открывайте доступ к каталогам.

Поиск каталогов, открытых для записи

$ find / -type d -perm -777 - exec Is -Is {}

drwxrwxrwt 2 root root 0 Feb 10 12: : 48 /dev/shm

drwxrwxrwt 2 root root 4096 Feb 10 06: : 33 /var/lib/texmf

drwxrwxrwt 2 root root 4096 Aug 27 2001 /var/spool/vbox

drwxrwxrwt 2 root root 4096 Apr 15 10: : 44 /var/tmp

drwxrwxrwt 6 root root 4096 Apr 15 08: : 44 /tmp

drwxrwxrwt 2 root joe 4096 Apr 15 10: : 44 /tmp/.Xll-unix

drwxrwxrwt 2 xf s xf s 4096 Feb 10 12: : 48 /tmp/.font-unix

drwxrwxrwx 3 joe joe 4096 Apr 15 15: : 16 /home/joe

drwxrwxrwx 3 joe joe 4096 Apr 5 15: : 27 /home/joe/projects/src/

Изучите выдаваемый модулем список каталогов. Если режим доступа к каталогу оправдан, возможно, имеет смысл установить для него sticky-бит. Наличие этого бита означает, что пользователь может создавать файлы в каталоге, но удалять или модифицировать файлы разрешено только их владельцам, а также суперпользователю. Такой режим полезен для каталога / tmp. В строке режима sticky-бит обозначается буквой t в крайней правой позиции.

Установка sticky-бита для каталога $ Is -Id /tmp

drwxrwxrwx 6 root root 4096 Apr 5 15:27 /tmp $ chmod 1777 /tmp $ Is -Id /tmp

drwxrwxrwt 6 root root 4096 Apr 5 15:27 /tmp

Пользователю joe, каталог которого открыт для записи, можно посоветовать создать группу, в которую войдут все члены его команды, и сделать каталог доступным только для групповой записи.

Стандартным ответом на запрос будет Yes (искать каталоги, открытые для записи).


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок