Protección y verificación de la integridad de archivos en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo buscar archivos con permisos de archivo especiales

Este procedimiento ubica el uso potencialmente no autorizado de permisos setuid y setgid en programas. Un archivo ejecutable sospechoso concede propiedad a un usuario en lugar de a root o bin.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Busque archivos con permisos setuid mediante el comando find.
    # find directory -user root -perm -4000 -exec ls -ldb {} \; >/tmp/filename
    find directorio

    Comprueba todas las rutas de montaje desde el directorio especificado, que puede ser raíz (/), /usr, /opt, etc.

    –user root

    Muestra archivos que sólo son propiedad de root.

    –perm –4000

    Muestra archivos sólo con permisos establecidos en 4000.

    –exec ls –ldb

    Muestra el resultado del comando find en formato ls -ldb. Consulte la página del comando man ls(1).

    /tmp/filename

    Es el archivo que contiene los resultados del comando find.

    Para obtener más información, consulte find(1).

  2. Muestra los resultados en /tmp/nombre_archivo. 
    # more /tmp/filename

    Para obtener información de contexto, consulte Permiso setuid.

Ejemplo 1-6  Búsqueda de archivos con permisos setuid

La salida del siguiente ejemplo muestra que un usuario en un grupo denominado rar ha realizado una copia personal de /usr/bin/rlogin y ha establecido los permisos como setuid en root. Como resultado, el programa /usr/rar/bin/rlogin se ejecuta con permisos root.

Después de investigar el directorio /usr/rar y eliminar el comando /usr/rar/bin/rlogin, el administrador archiva la salida del comando find.

# find /usr -user root -perm -4000 -exec ls -ldb {} \; > /var/tmp/ckprm
# cat /var/tmp/ckprm
-rwsr-xr-x  1 root   sys   28000  Jul 14 14:14  /usr/bin/atq
-rwsr-xr-x  1 root   sys   32364  Jul 14 14:14  /usr/bin/atrm
-r-sr-xr-x  1 root   sys   41432  Jul 14 14:14  /usr/bin/chkey
-rwsr-xr-x  1 root   bin   82804  Jul 14 14:14  /usr/bin/cdrw
-r-sr-xr-x  1 root   bin    8008  Jul 14 14:14  /usr/bin/mailq
-r-sr-sr-x  1 root   sys   45348  Jul 14 14:14  /usr/bin/passwd
-rwsr-xr-x  1 root   bin   37724  Jul 14 14:14  /usr/bin/pfedit
-r-sr-xr-x  1 root   bin   51440  Jul 14 14:14  /usr/bin/rcp
---s--x---  1 root   rar   41592  Jul 24 16:14  /usr/rar/bin/rlogin
-r-s--x--x  1 root   bin  166908  Jul 14 14:14  /usr/bin/sudo
-r-sr-xr-x  4 root   bin   24024  Jul 14 14:14  /usr/bin/uptime
-r-sr-xr-x  1 root   bin   79488  Jul 14 14:14  /usr/bin/xlock
# mv /var/tmp/ckprm /var/share/sysreports/ckprm
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente