ניטור ההרשאות בקבצי מערכת חיוני וחשוב כדי לשמור על שלמות המכונה. • כדאי באופן

1. ניטור ההרשאות בקבצי מערכת חיוני וחשוב כדי לשמור על שלמות המכונה.
2. • כדאי באופן קבוע לבקר את המערכות שלך לכל שימוש בלתי מורשה ומיותר של הרשאות setuid או setgid
3. תוכניות "Set-user-ID root" תפעלנה כמשתמש root, ללא קשר מי מבצע אותם,
4. והם סיבה שכיחה של Buffer overflows.
5.  
6. ישנן תוכניות רבות של setuid ו – setgid אשר יכולות לרוץ/לפעול ללא צורך ב root.
7. את תוכניות אלה ניתן להסיר אם המשתמשים לא צריכים אותם.
8.  
9. • כדאי למצוא את כל תוכניות setuid ו setgid על המארח/מכונה שלך ולהסיר את ההרשאות אחד אחד בעזרת chmod.
10. root# find / -type f -perm +6000 –ls
11. 59520 30 -rwsr-xr-x 1 root root 30560 Apr 15 1999 /usr/bin/chage
12. 59560 16 -r-sr-sr-x 1 root lp 15816 Jan 6 2000 /usr/bin/lpq
13.  
14.  
15. root# chmod -s /usr/bin/chage /usr/bin/lpq
16. root# ls -l /usr/bin/lpq /usr/bin/chage
17. -rwxr-xr-x 1 root root 30560 Apr 15 1999 /usr/bin/chage
18. -r-xr-xr-x 1 root lp 15816 Jan 6 2000 /usr/bin/lpq
19.  
20.  
21. קבצי World-write הם קבצים שבקלות מוחלפים או מוסרים. מצא את כל הקבצים הללו על המערכת שלך:
22. root# find / -perm -2 ! -type l -ls
23.  
24.  
25. במהלך הפעולה, כמה קבצים יהיו World-write, כוללים כמה מ /dev ו
26. הספרייה tmp/ עצמו.
27. • אתר את כל הקבצים שאין להם בעלים או שיוך לקבוצה. קבצים ללא בעלים גם יכולים להיות בעלי אינדיקציה לפורץ שהשיג גישה למערכת שלך.
28. root# find / -nouser -o -nogroup
29.  
30.  
31. • עם שימוש בפקודות lsattr וchattr -, מנהלי מערכת יכולה לשנות מאפיינים של קבצים וספריות, כולל את היכולת לשלוט במחיקה ושינוי של הפקודה מעלה, מה ש- chmod מספק.
32.  
33. השימוש ב " "append-only ו- "immutable" יכולים להיות יעילים במיוחד במניעת קבצי יומן/לוג מלהימחק, או סוסים טרויאניים שירוצו על גבי קבצים בינאריים מהמנים.
34. אמנם זה לא ערובה שקובץ מערכת או יומן/לוג לא ישתנה, כאשר יש רק ל root את היכולת
35. להסיר את ההגנה הזו.
36.  
37. פקודת chattr משמשת להוספה או הסר של מאפיינים אלה, בזמן שב lsattr ניתן להשתמש כדי להציג אותם.
38. קבצי יומן/לוג יכולים להיות מוגנים על ידי אישור לצרף ( append) אליהם מידע בלבד. ברגע שהנתונים כבר נכתבו, לא ניתן להסיר אותם.
39. אמנם זה ידרוש שינויים בהגדרות/סבב היומן/לוג שלך, אך זה יכול לספק הגנה נוספת מפני Cracker שמנסה להסיר את עקבותיו.
40. ברגע שיהיה סבב/שינוי של הלוג/יומן, הוא צריך להשתנות לתמיד ל"בלתי ניתן לשינוי".
41.  
42. קבצים מתאימים לשינויים אלה כוללים:
43. /bin/login, /bin/rpm
44. /etc/shadow
45.  
46.  
47. ואחרים שלא צריך לשנות לעתים קרובות:
48. root# chattr +i /bin/login
49. root# chattr +a /var/log/messages
50. root# lsattr /bin/login /var/log/messages
51. ----i--- /bin/login
52. -----a-- /var/log/messages\
53.  
54.  
55. • לא צריכה להיות אף פעם סיבה למשתמש להיות מסוגל להפעיל תוכנות setuid מתיקיית הבית שלהם
56. השתמש באפשרות nosuid ב /etc/fstab למחיצות בהן יש אפשרות לאחרים לשנות דברים שהם לא root.
57. כמו כן, מומלץ להשתמש ב nodev ו - noexec על מחיצות שלתיקיות הבית של משתמשים, כמו גם ב- /var, האוסר על הרצת תוכניות, ויצירה של יישומים , אשר לא אמור להיות צורך בהם בכל מקרה.
58.  
59. גילוי נאות:
60. זה לא משהו שלי שעליתי עליו לבד, קראתי את זה פעם וסיכמתי לעצמי, ואני פשוט משתף. אני רק לא זוכר איפה קראת את זה.