setuid アクセス権が設定されているファイルを検索する方法

1. スーパーユーザーになります。

2. find コマンドを使用して setuid アクセス権が設定されているファイルを検索します。

   # find directory -user root -perm -4000 -exec ls -ldb {} ¥; >/tmp/filename

   find directory	指定したディレクトリから始めて、マウントされているすべてのパスをチェックする。ディレクトリとしてルート (/)、sys、bin、または mail を指定できる
   -user root	root が所有するファイルのみを表示する
   -perm -4000	アクセス権が 4000 に設定されているファイルのみを表示する
   -exec ls -ldb	find コマンドの出力を ls -ldb 形式で表示する
   >/tmp/filename	結果がこのファイルに書き込まれる

3. 結果を /tmp/filename に出力する。

   setuid については、「setuid アクセス権」を参照してください。

例 - setuid アクセス権が設定されているファイルを検索する

# find / -user root -perm -4000 -exec ls -ldb {} ¥; > /tmp/ckprm
# cat /tmp/ckprm
-r-sr-xr-x 1 root bin 38836 Aug 10 16:16 /usr/bin/at
-r-sr-xr-x 1 root bin 19812 Aug 10 16:16 /usr/bin/crontab
---s--x--x 1 root sys 46040 Aug 10 15:18 /usr/bin/ct
-r-sr-xr-x 1 root sys 12092 Aug 11 01:29 /usr/lib/mv_dir
-r-sr-sr-x 1 root bin 33208 Aug 10 15:55 /usr/lib/lpadmin
-r-sr-sr-x 1 root bin 38696 Aug 10 15:55 /usr/lib/lpsched
---s--x--- 1 root rar 45376 Aug 18 15:11 /usr/rar/bin/sh
-r-sr-xr-x 1 root bin 12524 Aug 11 01:27 /usr/bin/df
-rwsr-xr-x 1 root sys 21780 Aug 11 01:27 /usr/bin/newgrp
-r-sr-sr-x 1 root sys 23000 Aug 11 01:27 /usr/bin/passwd
-r-sr-xr-x 1 root sys 23824 Aug 11 01:27 /usr/bin/su
	#

アクセス権のないユーザー (rar) が /usr/bin/sh の個人用コピーを作成し、setuid としてのアクセス権を root に設定しています。これは、rar は /usr/rar/bin/sh を実行して特権付きユーザーになれることを意味します。この出力を参考のために保存したい場合は、ファイルを /tmp ディレクトリの外へ移動してください。