SUID-команды dump и restore

Команды dump и restore применяются для архивирования файловых систем и последующего восстановления их из архивов. Они должны выполняться с правами суперпользователя, чтобы иметь доступ ко всем файлам и устройствам. Как и в случае других административных утилит, вполне допускается ограничивать доступ пользователей к ним путем сброса бита SUID. Это позволит предотвратить несанкционированные манипуляции файловыми системами.

Стандартным ответом на запрос будет Yes (сбросить бит SUID для команд dump и restore).

SUID-утилита cardctl

Если в системе имеются устройства PCMCIA (Personal Computer Memory Card International Association — Международная ассоциация производителей плат памяти для персональных компьютеров), их работу можно контролировать с помощью утилиты cardctl. По упоминавшимся выше причинам желательно ограничить доступ к ней.

Стандартным ответом на запрос будет Yes (сбросить бит SUID для утилиты cardctl).

SUID-команда at

Команда at — это одно из двух имеющихся в UNIX средств планирования работы процессов (второе — демон cron). Она должна выполняться с правами суперпользователя, чтобы иметь возможность редактировать задания, хранящиеся в файле /var/spool/at, и посылать сигналы демону atd при появлении очередного задания. В команде at было обнаружено как минимум одно уязвимое место, поэтому авторы программы Bastille рекомендуют сбросить для нее бит SUID, чтобы исключить возможность несанкционированного доступа при обнаружении новых уязвимых мест. Мы в принципе согласны с этим. При необходимости можно пользоваться демоном cron.

Стандартным ответом на запрос будет Yes (сбросить бит SUID для команды at).

SUID-утилита dosemu

Утилита dosemu — это эмулятор, позволяющий запускать DOS-программы в Linux. Создатели утилиты не рекомендуют устанавливать для нее бит SUID на компьютерах, подключенных к сети. Дополнительную информацию можно найти на Web-узле www. dosemu.org.

Стандартным ответом на запрос будет Yes (сбросить бит SUID для утилиты dosemu).

SUID-утилиты для чтения сетевых новостей

В некоторых версиях Linux для утилит inndstart и startinnfeed установлен бит SUID. Утилите inndstart нужны права суперпользователя, чтобы подключаться к порту службы новостей (номер 119) и запускать демон innd. Впрочем, при правильной инсталляции запускать утилиту смогут только пользователь news и члены одноименной группы. Авторы программы Bastille рекомендуют сбросить для утилиты inndstart бит SUID, чтобы исключить возможность несанкционированного запуска/останова сервера новостей.

Стандартным ответом на запрос будет Yes (сбросить бит SUID для утилит inndstart и startinnfeed).

SUID-утилиты печати

В некоторых операционных системах для команды lpr (посылает задания на печать) установлен бит SUID. Это дает пользователям возможность непосредственно помещать свои файлы в очередь печати. Команда lpr имеет множество уязвимых мест, позволяющих получать несанкционированный доступ к системе от имени суперпользователя. Если посылать задания на печать с данного компьютера нет необходимости, рекомендуется сбросить бит SUID для всех команд печати.

Стандартным ответом на запрос будет No (не сбрасывать бит SUID для команды lpr).


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок