이 절차에서는 프로그램에서 setuid 및 setgid 사용 권한의 잠재적인 무단 사용을 찾습니다. root 또는 bin 이외의 다른 사용자에게 소유권을 부여하는 실행 파일은 의심스러운 것입니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
# find directory -user root -perm -4000 -exec ls -ldb {} \; >/tmp/filename
지정된 directory에서 시작하여 마운트된 경로를 모두 검사합니다. 여기서 directory는 루트(/), /usr, /opt 등일 수 있습니다.
root가 소유한 파일만 표시합니다.
사용 권한이 4000으로 설정된 파일만 표시합니다.
find 명령 출력을 ls -ldb 형식으로 표시합니다. ls(1) 매뉴얼 페이지를 참조하십시오.
find 명령 결과가 포함된 파일입니다.
자세한 내용은 find(1) 항목을 참조하십시오.
# more /tmp/filename
배경 정보는 setuid 사용 권한을 참조하십시오.
다음 예의 출력에서는 rar이라는 그룹의 사용자가 /usr/bin/rlogin의 개인용 복사본을 만들고 setuid 권한을 root로 설정했음을 보여줍니다. 따라서 /usr/rar/bin/rlogin 프로그램이 root 권한으로 실행됩니다.
/usr/rar 디렉토리를 조사하고 /usr/rar/bin/rlogin 명령을 제거한 후 관리자가 find 명령에서 출력을 아카이브합니다.
# find /usr -user root -perm -4000 -exec ls -ldb {} \; > /var/tmp/ckprm # cat /var/tmp/ckprm -rwsr-xr-x 1 root sys 28000 Jul 14 14:14 /usr/bin/atq -rwsr-xr-x 1 root sys 32364 Jul 14 14:14 /usr/bin/atrm -r-sr-xr-x 1 root sys 41432 Jul 14 14:14 /usr/bin/chkey -rwsr-xr-x 1 root bin 82804 Jul 14 14:14 /usr/bin/cdrw -r-sr-xr-x 1 root bin 8008 Jul 14 14:14 /usr/bin/mailq -r-sr-sr-x 1 root sys 45348 Jul 14 14:14 /usr/bin/passwd -rwsr-xr-x 1 root bin 37724 Jul 14 14:14 /usr/bin/pfedit -r-sr-xr-x 1 root bin 51440 Jul 14 14:14 /usr/bin/rcp ---s--x--- 1 root rar 41592 Jul 24 16:14 /usr/rar/bin/rlogin -r-s--x--x 1 root bin 166908 Jul 14 14:14 /usr/bin/sudo -r-sr-xr-x 4 root bin 24024 Jul 14 14:14 /usr/bin/uptime -r-sr-xr-x 1 root bin 79488 Jul 14 14:14 /usr/bin/xlock # mv /var/tmp/ckprm /var/share/sysreports/ckprm