Программа sXid Специальный контроль за специальными правами Программа sXid наблюдает за файлами с правами SUID и SGID. Каждый день программа запускается как задача планировщика cron и проверяет систему на наличие подозрительных файлов с битами SUID и SGID. Установка программы Пакет sxid (RPM или DEB) часто входит в состав дистрибутива, но если на дистрибутивных DVD он отсутствует, его можно поискать в Интернете. К слову, пакет sxid всегда доступен http://linukz.org/ в виде исходников. Настройка sXid Настройка программы осуществляется путем редактирования ее конфигурационного файла /etc/sxid.conf Пример файла конфигурации /etc/sxid.conf #Откуда начинать поиск программ SEARCH = "/" #Исключить указанные каталоги из поиска EXCLUDE ="/proc /mnt /media" #Адрес e-mail для отправки отчета EMAIL = "root" #Отправлять отчет всегда, даже если нет изменений? #yes = да, по = нет ALWAYS_NOTIFY = "по" #Файл журнала LOG_FILE = "var/log/sxid.log" #Сколько журналов хранить KEEP_LOGS = 5 #Всегда выполнять ротацию журналов, даже если нет изменений ALWAYS_R0TATE = "по" #Каталоги, а которых вообще запрещено применение битов SUID и SGID FORBIDDEN = "/home /tmp" #Удалять спец. биты из программ, найденных в запрещенных каталогах ENFORCE = "yes" #Всегда ли отправлять полный список изменений LISTALL = "no" #Игнорировать следующие каталоги IGNORE_DIRS = "" #Файл, содержащий список имен файлов (по одному в каждой строке), для которых разрешена установка спец. прав. Это список дополнительных файлов, спец. права для которых установил администратор EXTRA_LIST = "etc/sxid.lst" #Программа для отправки электронных сообщений MAIL_PROG = "/bin/mail" После редактирования конфигурационного файла программы нужно изменить права доступа к нему: chmod 400 /etc/sxid.conf При установке программы будет создан файл /etc/cron.daily/sxid, обеспечивающий ежедневный запуск программы, поэтому вам не нужно будет заботиться о его создании. Запуск и проверка программы Запустите программу: sxid -к и если высветится, что "no changes found" (никаких изменений не найдено), то все в порядке. А теперь перейдите в каталог /tmp (можно в любой другой), создайте пустой файл и установите для него права SUID: # cd /tmp # touch test.bin # chmod +x test.bin # chmod u+s test.bin Опять запустите программу: sxid -k В конце мы видим: Checking for any additions or removals: +/tmp/test.bin *root.*root - 6755 Checking for changed attributes or sums/inodes: Checking for no user/group matches: Checking for forbidden s[ug]id items: tmp/test.bin *root.*root 755 Программа нашла созданный нами файл и изменила его права доступа, сняв специальные биты.