Table des matières:
- Hacheurs d'autorisations de fichiers sur Linux
- Contre-mesures contre les attaques par autorisation de fichiers Linux
Vidéo: Utiliser son Raspberry en SSH & Gérer ses droits de gestion (chmod) - [Les tutos Geek] 2024
C'est une bonne idée pour vérifier vos permissions de fichiers pour éviter les hacks sous Linux. Les pirates peuvent utiliser cela à leur avantage si vous ne faites pas attention. Sous Linux, les types de fichiers spéciaux permettent aux programmes de s'exécuter avec les droits du propriétaire du fichier:
-
SetUID (pour les ID utilisateur)
-
SetGID (pour les ID de groupe)
SetUID et SetGID sont requis lorsqu'un utilisateur exécute un programme accès complet au système pour effectuer ses tâches. Par exemple, lorsqu'un utilisateur appelle le programme passwd pour changer son mot de passe, le programme est en fait chargé et exécuté sans droits root ou d'autres utilisateurs.
Ceci est fait pour que l'utilisateur puisse exécuter le programme et que le programme puisse mettre à jour la base de données de mots de passe sans que le compte root ne soit impliqué dans le processus.
Hacheurs d'autorisations de fichiers sur Linux
Par défaut, les programmes malveillants qui s'exécutent avec des privilèges root peuvent être facilement masqués. Un attaquant externe ou un initié malveillant pourrait le faire pour cacher des fichiers de piratage, tels que des rootkits, sur le système. Cela peut être fait avec le codage SetUID et SetGID dans leurs programmes de piratage.
Contre-mesures contre les attaques par autorisation de fichiers Linux
Vous pouvez tester les programmes malveillants en utilisant des méthodes de test manuelles et automatiques.
Test manuel
Les commandes suivantes peuvent identifier et imprimer sur l'écran les programmes SetUID et SetGID:
-
Les programmes configurés pour SetUID:
find / -perm -4000 -print
-
Les programmes qui sont configuré pour SetGID:
find / -perm -2000 -print
-
Fichiers lisibles par n'importe qui dans le monde:
find / -perm -2 -type f -print
-
Fichiers cachés:
find / -name ". *"
Vous avez probablement des centaines de fichiers dans chacune de ces catégories, donc ne vous inquiétez pas. Lorsque vous découvrez des fichiers avec ces attributs définis, vous devez vous assurer qu'ils sont supposés posséder ces attributs en effectuant des recherches dans votre documentation ou sur Internet, ou en les comparant à un système sécurisé ou à une sauvegarde de données connus.
Surveillez vos systèmes pour détecter les nouveaux fichiers SetUID ou SetGID qui apparaissent soudainement.
Test automatique
Vous pouvez utiliser un programme d'audit automatisé de modification de fichier pour vous avertir lorsque ces types de modifications sont effectués. C'est beaucoup plus facile sur une base continue:
-
Une application de détection de changement, telle que Tripwire, peut vous aider à suivre ce qui a changé et à quel moment.
-
Un programme de surveillance de fichiers, tel que COPS, recherche les fichiers qui ont changé d'état (par exemple un nouveau SetUID ou SetGID supprimé).
