Sécurisation des fichiers et vérification de l'intégrité des fichiers dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Recherche de fichiers avec des autorisations de fichier spéciales

Cette procédure permet de localiser les utilisations non autorisées potentielles des autorisations setuid et setgid sur les programmes. Un fichier exécutable suspect accorde la propriété à un utilisateur plutôt qu'à root ou bin.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Recherchez les fichiers avec des autorisations setuid en utilisant la commande find.
    # find directory -user root -perm -4000 -exec ls -ldb {} \; >/tmp/filename
    find directory

    Vérifie tous les chemins montés en commençant par le répertoire spécifié, qui peut être root (/), /usr, /opt, etc.

    –user root

    Affiche les fichiers appartenant uniquement à root.

    –perm –4000

    Affiche les fichiers uniquement avec les autorisations définies sur 4000.

    –exec ls –ldb

    Affiche le résultat de la commande find au format ls -ldb. Reportez-vous à la page de manuel ls(1).

    /tmp/filename

    Il s'agit du fichier qui contient les résultats de la commande find.

    Pour plus d'informations, reportez-vous à find(1).

  2. Affichez les résultats dans /tmp/filename. 
    # more /tmp/filename

    Pour obtenir des informations générales, reportez-vous à la section Autorisation setuid.

Exemple 1-6  Recherche de fichiers avec des autorisations setuid

La sortie de l'exemple suivant montre qu'un utilisateur d'un groupe appelé rar a effectué une copie personnelle de /usr/bin/rlogin et a défini les autorisations setuid sur root. Par conséquent, le programme /usr/rar/bin/rlogin s'exécute avec les autorisations root.

Après avoir examiné le répertoire /usr/rar et supprimé la commande /usr/rar/bin/rlogin, l'administrateur archive la sortie de la commande find.

# find /usr -user root -perm -4000 -exec ls -ldb {} \; > /var/tmp/ckprm
# cat /var/tmp/ckprm
-rwsr-xr-x  1 root   sys   28000  Jul 14 14:14  /usr/bin/atq
-rwsr-xr-x  1 root   sys   32364  Jul 14 14:14  /usr/bin/atrm
-r-sr-xr-x  1 root   sys   41432  Jul 14 14:14  /usr/bin/chkey
-rwsr-xr-x  1 root   bin   82804  Jul 14 14:14  /usr/bin/cdrw
-r-sr-xr-x  1 root   bin    8008  Jul 14 14:14  /usr/bin/mailq
-r-sr-sr-x  1 root   sys   45348  Jul 14 14:14  /usr/bin/passwd
-rwsr-xr-x  1 root   bin   37724  Jul 14 14:14  /usr/bin/pfedit
-r-sr-xr-x  1 root   bin   51440  Jul 14 14:14  /usr/bin/rcp
---s--x---  1 root   rar   41592  Jul 24 16:14  /usr/rar/bin/rlogin
-r-s--x--x  1 root   bin  166908  Jul 14 14:14  /usr/bin/sudo
-r-sr-xr-x  4 root   bin   24024  Jul 14 14:14  /usr/bin/uptime
-r-sr-xr-x  1 root   bin   79488  Jul 14 14:14  /usr/bin/xlock
# mv /var/tmp/ckprm /var/share/sysreports/ckprm
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant