Script permettant de trouver les processus root et de les tuer

biglittlekiss · 16/11/2006, 19h12

Bonjour,

Je dois faire un script, qui permettrai de protéger mon système contre l'exécution d'un programme utilisé par un utilisateur non root, mais dont le programme serait en fait un SUID.
Du même coup ce programme garderait de ce fait, un droit d'execution en root.

Donc comment faire pour se prémunir de cela?

Rechercher les procesus et les tuer?

Merci

keikoz · 16/11/2006, 19h20

Ne pas utiliser de scripts SUID root ? Si un système a un script SUID root qui peut être dangereux pour le système, le bon sens commanderait de tout simplement s'en passer, amha.

biglittlekiss · 16/11/2006, 20h04

Oui, mais le truc c'est que en fait les utilisateurs peuvent utiliser ce genre de programme à partir d'un clef usb ou d'une disquette, et en fait si l'execution se fait à partir de là, le bit SUID sur le programme est toujours actif.

Donc il faudrait faire en sorte de détecter ce genre de programme et de pouvoir les killer le cas échéant.

Celelibi · 18/11/2006, 10h40

pour les clés/disquettes, rajoute l'option nosuid dans le fstab.

Et pour les programmes avec le bit setuid défini, assure-toi que leur utilisation n'est pas dangeureuse ou alors que "others" ne peut pas l'exécuter.

Les systèmes Linux sont quand même assez bien fait en ce qui concerne la gestion du bit setuid. Par exemple, si tu modifies un fichier avec ce bit activé, alors il le perd. Si il est activé, alors la variable d'environnement LD_PRELOAD sera ignorée.
Enfin bref, pas besoin d'être parano, le système l'est pour toi.

16/11/2006, 19h12	#1
biglittlekiss Invité de passage Inscription : novembre 2006 Messages : 25 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 25 Points : 1 Points : 1	Script permettant de trouver les processus root et de les tuer Bonjour, Je dois faire un script, qui permettrai de protéger mon système contre l'exécution d'un programme utilisé par un utilisateur non root, mais dont le programme serait en fait un SUID. Du même coup ce programme garderait de ce fait, un droit d'execution en root. Donc comment faire pour se prémunir de cela? Rechercher les procesus et les tuer? Merci
	00

18/11/2006, 10h40	#4
Celelibi Membre émérite Inscription : janvier 2004 Messages : 990 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 990 Points : 822 Points : 822	pour les clés/disquettes, rajoute l'option nosuid dans le fstab. Et pour les programmes avec le bit setuid défini, assure-toi que leur utilisation n'est pas dangeureuse ou alors que "others" ne peut pas l'exécuter. Les systèmes Linux sont quand même assez bien fait en ce qui concerne la gestion du bit setuid. Par exemple, si tu modifies un fichier avec ce bit activé, alors il le perd. Si il est activé, alors la variable d'environnement LD_PRELOAD sera ignorée. Enfin bref, pas besoin d'être parano, le système l'est pour toi. __________________ Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.
	00

16/11/2006, 19h20	#2
keikoz Membre actif Inscription : janvier 2003 Messages : 146 Détails du profil Informations forums : Inscription : janvier 2003 Messages : 146 Points : 150 Points : 150	Ne pas utiliser de scripts SUID root ? Si un système a un script SUID root qui peut être dangereux pour le système, le bon sens commanderait de tout simplement s'en passer, amha.
	00

16/11/2006, 20h04	#3
biglittlekiss Invité de passage Inscription : novembre 2006 Messages : 25 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 25 Points : 1 Points : 1	Oui, mais le truc c'est que en fait les utilisateurs peuvent utiliser ce genre de programme à partir d'un clef usb ou d'une disquette, et en fait si l'execution se fait à partir de là, le bit SUID sur le programme est toujours actif. Donc il faudrait faire en sorte de détecter ce genre de programme et de pouvoir les killer le cas échéant.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email