|
|
| Le forum de référence en programmation et développement. Articles, cours et tutoriels du débutant au chef de projet et DBA confirmé. | |||||||
|
|||||||
| Sécurité Vos questions sur la sécurité sous Linux/Unix |
 |
|
|
Outils de la discussion |
15/03/2008, 14h00
|
#1 (permalink) |
|
Membre actif
 Date d'inscription: août 2007
Localisation: Paris
Âge: 24
Messages: 193
|
SUID et SGID
Bonjour,
je suis en train de sécuriser actuellement mon système linux (distrib Ubuntu) et je voulais changer les droits des fichiers de type SUID / SGID. ET je ne sais pas lesquels changer et ne pas changer. Pourriez vous m'aider svp? J'ai lancé la commande : Code :
sudo find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;
Code :
-rwsr-xr-x 1 root 3448 2007-08-01 11:04 /bin/check-foreground-console -rwsr-xr-- 1 fuse 19668 2007-09-19 02:01 /bin/fusermount -rwsr-xr-x 1 root 80568 2007-10-03 06:48 /bin/mount -rwsr-xr-x 1 root 30856 2007-07-06 09:40 /bin/ping -rwsr-xr-x 1 root 26684 2007-07-06 09:40 /bin/ping6 -rwsr-xr-x 1 root 27140 2007-05-18 11:59 /bin/su -rwsr-xr-x 1 root 61248 2007-10-03 06:48 /bin/umount -rwsr-xr-- 1 dhcp 2956 2007-09-07 17:32 /lib/dhcp3-client/call-dhclient-script -r-sr-xr-x 1 root 18076 2007-11-17 20:58 /opt/ORCLfmap/prot1_32/bin/fmputlhp find: /proc/6426/task/6426/fdinfo/4: Aucun fichier ou répertoire de ce type find: /proc/6426/task/6426/fdinfo/4: Aucun fichier ou répertoire de ce type find: /proc/6426/fdinfo/4: Aucun fichier ou répertoire de ce type find: /proc/6426/fdinfo/4: Aucun fichier ou répertoire de ce type -rwxr-sr-x 1 shadow 21216 2007-10-01 20:49 /sbin/unix_chkpwd -rwsr-sr-x 1 root 7472 2007-10-09 20:53 /usr/bin/X -rwsr-xr-x 1 root 11076 2007-07-06 09:40 /usr/bin/arping -rwsr-sr-x 1 daemon 38464 2007-02-20 14:41 /usr/bin/at -rwxr-sr-x 1 tty 7836 2007-05-15 11:47 /usr/bin/bsd-write -rwsr-xr-x 1 root 384424 2007-09-17 00:19 /usr/bin/cdrecord -rwxr-sr-x 1 shadow 38128 2007-05-18 11:59 /usr/bin/chage -rwsr-xr-x 1 root 32208 2007-05-18 11:59 /usr/bin/chfn -rwsr-xr-x 1 root 23920 2007-05-18 11:59 /usr/bin/chsh -rwxr-sr-x 1 crontab 26832 2006-12-20 15:46 /usr/bin/crontab -rwxr-sr-x 1 shadow 18664 2007-05-18 11:59 /usr/bin/expiry -rwsr-xr-x 1 root 22348 2006-06-26 12:54 /usr/bin/fping -rwsr-xr-x 1 root 23052 2006-06-26 12:54 /usr/bin/fping6 -rwsr-xr-x 1 root 12392 2007-07-06 09:40 /usr/bin/traceroute6.iputils -rwsr-xr-x 1 root 37392 2007-05-18 11:59 /usr/bin/gpasswd -rwsr-xr-x 1 lpadmin 9280 2008-01-10 10:20 /usr/bin/lppasswd -rwsr-xr-x 1 root 46052 2007-05-30 09:49 /usr/bin/mtr -rwsr-xr-x 1 root 20456 2007-05-18 11:59 /usr/bin/newgrp -rwsr-xr-x 1 root 29104 2007-05-18 11:59 /usr/bin/passwd -rwsr-xr-- 1 plugdev 35436 2007-09-05 11:53 /usr/bin/pmount -rwsr-xr-- 1 plugdev 26604 2007-09-05 11:53 /usr/bin/pumount -rwxr-sr-x 1 utmp 304932 2007-07-26 17:57 /usr/bin/screen -rwxr-sr-x 1 slocate 31308 2007-10-03 20:36 /usr/bin/slocate -rwxr-sr-x 1 ssh 80616 2008-01-10 00:02 /usr/bin/ssh-agent -rwsr-xr-x 2 root 91776 2007-06-15 14:49 /usr/bin/sudo -rwsr-xr-x 2 root 91776 2007-06-15 14:49 /usr/bin/sudoedit -rwxr-sr-x 1 tty 9960 2007-10-03 06:48 /usr/bin/wall -rwxr-sr-x 1 utmp 311540 2007-08-29 12:42 /usr/bin/xterm -rwsr-xr-x 1 root 11214 2008-02-01 13:20 /usr/bin/fileshareset -rwsr-xr-x 1 root 5764 2008-02-01 14:00 /usr/bin/kgrantpty -rwsr-xr-x 1 root 6300 2008-02-01 14:00 /usr/bin/kpac_dhcp_helper -rwsr-xr-x 1 root 5768 2008-02-01 14:00 /usr/bin/start_kdeinit -rwxr-sr-x 1 mail 10688 2007-06-07 23:56 /usr/bin/dotlockfile -rwxr-sr-x 1 games 91236 2007-10-19 21:42 /usr/games/glines -rwxr-sr-x 1 games 418636 2007-10-19 21:42 /usr/games/gnibbles -rwxr-sr-x 1 games 136588 2007-10-19 21:42 /usr/games/gnobots2 -rwxr-sr-x 1 games 117120 2007-10-19 21:42 /usr/games/gnometris -rwxr-sr-x 1 games 93968 2007-10-19 21:42 /usr/games/gnomine -rwxr-sr-x 1 games 80132 2007-10-19 21:42 /usr/games/gnotravex -rwxr-sr-x 1 games 86160 2007-10-19 21:42 /usr/games/gnotski -rwxr-sr-x 1 games 90760 2007-10-19 21:42 /usr/games/gtali -rwxr-sr-x 1 games 97488 2007-10-19 21:42 /usr/games/mahjongg -rwxr-sr-x 1 games 81580 2007-10-19 21:42 /usr/games/same-gnome -rwsr-xr-x 1 root 4536 2007-06-14 15:52 /usr/lib/eject/dmcrypt-get-device -rwxr-sr-x 1 mail 9112 2008-01-08 22:23 /usr/lib/evolution/camel-lock-helper-1.2 -rwxr-sr-x 1 utmp 10084 2007-10-05 20:36 /usr/lib/libvte9/gnome-pty-helper -rwxr-sr-x 1 mail 57552 2007-07-25 16:24 /usr/lib/xemacs-21.4.20/i486-linux-gnu/movemail -rwsr-xr-x 1 root 168164 2008-01-10 00:02 /usr/lib/openssh/ssh-keysign -rwsr-xr-x 1 root 9624 2007-10-25 03:03 /usr/lib/pt_chown -rwsr-xr-- 1 www-data 10528 2008-02-04 21:36 /usr/lib/apache2/suexec -rwxr-sr-x 1 mail 19512 2007-11-06 19:04 /usr/lib/emacs/22.1/i486-linux-gnu/movemail -rwsr-xr-- 1 dip 269256 2007-10-04 21:57 /usr/sbin/pppd |
|
|
|
17/03/2008, 12h35
|
#2 (permalink) |
|
Membre régulier
 Date d'inscription: avril 2003
Messages: 130
|
salut,
Il n'y a pas grand interet, tu auras par la suite des comportements un peu bizare si tu fais ce genre de changement. Le seul truc que je ne mettrais pas, c'est sur suexec pour Apache. Le reste n'est en soit pas trop choquant (j'ai parcouru la liste vite fait). Le problème du SUID c'est lorsque le binaire est vulnérable. Malheureusement il faut que certaine commande (comme passwd par exemple) le soit, sinon ton changement de password (édition du fichier shadow) ne pourra avoir lieu. Si tu souhaites sécuriser ta distrib, essayes aussi niveau kernel avec grsecurity, penses aux environnement CHROOT, le montage de tes partitions (l'option noexec par exemple), désinstalle les packages qui ne servent pas (pppd est-il réellement nécessaire ?), stop les daemons qui tourent et qui ne servent pas, etc ... il y a beaucoup de chose à faire avant de s'attaquer a des parties comme SUID. |
|
|
|
|
 |
||
SUID et SGID
|
||
| Outils de la discussion | |
|
|
