Schützen vor Programmen mit Sicherheitsrisiko (Übersicht der Schritte)

Die folgende Übersicht der Schritte verweist auf Verfahren, mit denen gefährliche ausführbare Dateien im System gesucht werden können und die Programme daran hindern, einen ausführbaren Stack zu nutzen.

So suchen Sie Dateien mit besonderen Dateiberechtigungen

Überwachen Sie Ihr System auf nicht autorisierte Verwendung von setuid- und setgid-Berechtigungen für Programme. Mit setuid- und setgid-Berechtigungen können normale Benutzer Superuser-Rechte erhalten. Eine verdächtige ausführbare Datei weist einem Benutzer statt root oder bin die Eigentümerschaft zu.

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Suchen Sie Dateien mit setuid-Berechtigungen, indem Sie den Befehl find verwenden.

   # find directory -user root -perm -4000 -exec ls -ldb {} \; >/tmp/filename

   find directory

   Überprüft alle eingehängten Pfade, beginnend mit dem für directory angegebenen Verzeichnis; diese Pfade können root (/), sys, bin oder mail entsprechen

   -user root

   Zeigt nur die Dateien an, die Eigentum von root sind

   -perm -4000

   Zeigt nur Dateien an, deren Berechtigungen auf 4000 eingestellt sind

   -exec ls -ldb

   Zeigt die Ausgabe des Befehls find im Format ls -ldb an

   /tmp/filename

   Datei, die das Ergebnis des Befehls find enthält

3. Zeigen Sie die Ergebnisse in /tmp/filename an.

   # more /tmp/filename

   Hintergrundinformationen zu setuid-Berechtigungen finden Sie unter setuid-Berechtigung.

Beispiel 6-12 Suchen von Dateien mit setuid-Berechtigungen

Die Ausgabe des folgenden Beispiels zeigt, dass ein Benutzer der Gruppe rar eine persönliche Kopie von /usr/bin/sh erstellt und die Berechtigungen für setuid auf root eingestellt hat. Daher wird das Programm /usr/rar/bin/sh mit root-Berechtigungen ausgeführt.

Diese Ausgabe wurde für eine zukünftige Referenz gespeichert, indem das Verzeichnis /var/tmp/chkprm in das Verzeichnis /export/sysreports/ckprm verschoben wurde.

# find / -user root -perm -4000 -exec ls -ldb {} \; > /var/tmp/ckprm
# cat /var/tmp/ckprm
-r-sr-xr-x 1 root bin 38836 Aug 10 16:16 /usr/bin/at
-r-sr-xr-x 1 root bin 19812 Aug 10 16:16 /usr/bin/crontab
---s--x--x 1 root sys 46040 Aug 10 15:18 /usr/bin/ct
-r-sr-xr-x 1 root sys 12092 Aug 11 01:29 /usr/lib/mv_dir
-r-sr-sr-x 1 root bin 33208 Aug 10 15:55 /usr/lib/lpadmin
-r-sr-sr-x 1 root bin 38696 Aug 10 15:55 /usr/lib/lpsched
---s--x--- 1 root rar 45376 Aug 18 15:11 /usr/rar/bin/sh
-r-sr-xr-x 1 root bin 12524 Aug 11 01:27 /usr/bin/df
-rwsr-xr-x 1 root sys 21780 Aug 11 01:27 /usr/bin/newgrp
-r-sr-sr-x 1 root sys 23000 Aug 11 01:27 /usr/bin/passwd
-r-sr-xr-x 1 root sys 23824 Aug 11 01:27 /usr/bin/su
# mv /var/tmp/ckprm /export/sysreports/ckprm

So hindern Sie Programme an der Verwendung ausführbarer Stacks

Eine Beschreibung der Sicherheitsrisiken ausführbarer Stacks finden Sie unter Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien.

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Fügen Sie der Datei /etc/system folgende Zeile hinzu:

   set noexec_user_stack=1

3. Starten Sie das System neu.

   # init 6

Beispiel 6-13 Deaktivieren der Protokollierung ausführbarer Stack-Meldungen

In diesem Beispiel wird die Protokollierung ausführbarer Stack-Meldungen deaktiviert und das System neu gestartet.

# cat /etc/system
set noexec_user_stack=1
set noexec_user_stack_log=0
# init 6