Модуль FilePermissions
Этот модуль контролирует наличие бита SUID у некоторых системных программ суперпользователя. Из-за наличия данного бита такие программы могут запускаться любым пользователем. Рекомендуется снимать бит SUID, поскольку ошибки в программах могут приводить к получению несанкционированного доступа. Даже если все пользователи имеют привилегии администраторов, лучше заставить их запускать специальные программы через утилиту sudo. Если впоследствии понадобится восстановить права доступа к программным файлам, это можно будет сделать с помощью команды chmod.
Административные SUID-утилиты
В некоторых версиях Linux для утилит linuxconf, fsck, ifconfig, runlevel и portmap установлен бит SUID, вследствие чего любой пользователь может вносить изменения, традиционно разрешенные только суперпользователю. Если нужно запретить пользователям доступ к этим утилитам (или заставить их работать через утилиту sudo), ответьте Yes на соответствующий запрос. В результате бит SUID будет сброшен.
Восстановление бита SUID для файла /sbin/runlevel $ sudo chmod u+s /sbin/runlevel
Во всех системах, кроме Mandrake, стандартным ответом на запрос будет No (не сбрасывать бит SUID).
Каталоги, открытые для записи
Этот запрос выдается в HP-UX, но соответствующая проверка важна и в Linux. Модуль ищет каталоги, открытые для записи. Чтобы обеспечить целостность пользовательских данных, следует запретить пользователям создавать и удалять файлы в чужих каталогах. Если необходим совместный доступ к файлам, применяйте механизм групп, а не открывайте доступ к каталогам.
Поиск каталогов, открытых для записи
$ find / -type d -perm -777 - exec Is -Is {}
drwxrwxrwt 2 root root 0 Feb 10 12: : 48 /dev/shm
drwxrwxrwt 2 root root 4096 Feb 10 06: : 33 /var/lib/texmf
drwxrwxrwt 2 root root 4096 Aug 27 2001 /var/spool/vbox
drwxrwxrwt 2 root root 4096 Apr 15 10: : 44 /var/tmp
drwxrwxrwt 6 root root 4096 Apr 15 08: : 44 /tmp
drwxrwxrwt 2 root joe 4096 Apr 15 10: : 44 /tmp/.Xll-unix
drwxrwxrwt 2 xf s xf s 4096 Feb 10 12: : 48 /tmp/.font-unix
drwxrwxrwx 3 joe joe 4096 Apr 15 15: : 16 /home/joe
drwxrwxrwx 3 joe joe 4096 Apr 5 15: : 27 /home/joe/projects/src/
Изучите выдаваемый модулем список каталогов. Если режим доступа к каталогу оправдан, возможно, имеет смысл установить для него sticky-бит. Наличие этого бита означает, что пользователь может создавать файлы в каталоге, но удалять или модифицировать файлы разрешено только их владельцам, а также суперпользователю. Такой режим полезен для каталога / tmp. В строке режима sticky-бит обозначается буквой t в крайней правой позиции.
Установка sticky-бита для каталога $ Is -Id /tmp
drwxrwxrwx 6 root root 4096 Apr 5 15:27 /tmp $ chmod 1777 /tmp $ Is -Id /tmp
drwxrwxrwt 6 root root 4096 Apr 5 15:27 /tmp
Пользователю joe, каталог которого открыт для записи, можно посоветовать создать группу, в которую войдут все члены его команды, и сделать каталог доступным только для групповой записи.
Стандартным ответом на запрос будет Yes (искать каталоги, открытые для записи).
4/04/10 - 
