Инструменты пользователя

Инструменты сайта


sxid_проверка

Программа sXid Специальный контроль за специальными правами

Программа sXid наблюдает за файлами с правами SUID и SGID. Каждый день программа запускается как задача планировщика cron и проверяет систему на наличие подозрительных файлов с битами SUID и SGID.

Установка программы Пакет sxid (RPM или DEB) часто входит в состав дистрибутива, но если на дистрибутивных DVD он отсутствует, его можно поискать в Интернете. К слову, пакет sxid всегда доступен http://linukz.org/ в виде исходников.

Настройка sXid

Настройка программы осуществляется путем редактирования ее конфигурационного файла /etc/sxid.conf

Пример файла конфигурации /etc/sxid.conf

#Откуда начинать поиск программ

SEARCH = «/»

#Исключить указанные каталоги из поиска

EXCLUDE =«/proc /mnt /media»

#Адрес e-mail для отправки отчета

EMAIL = «root»

#Отправлять отчет всегда, даже если нет изменений?

#yes = да, по = нет ALWAYS_NOTIFY = «по»

#Файл журнала

LOG_FILE = «var/log/sxid.log»

#Сколько журналов хранить

KEEP_LOGS = 5

#Всегда выполнять ротацию журналов, даже если нет изменений

ALWAYS_R0TATE = «по»

#Каталоги, а которых вообще запрещено применение битов SUID и SGID

FORBIDDEN = «/home /tmp»

#Удалять спец. биты из программ, найденных в запрещенных каталогах

ENFORCE = «yes»

#Всегда ли отправлять полный список изменений

LISTALL = «no»

#Игнорировать следующие каталоги

IGNORE_DIRS = «»

#Файл, содержащий список имен файлов (по одному в каждой строке), для которых разрешена установка спец. прав. Это список дополнительных файлов, спец. права для которых установил администратор

EXTRA_LIST = «etc/sxid.lst»

#Программа для отправки электронных сообщений MAIL_PROG = «/bin/mail»

После редактирования конфигурационного файла программы нужно изменить права доступа к нему:

chmod 400 /etc/sxid.conf

При установке программы будет создан файл /etc/cron.daily/sxid, обеспечивающий ежедневный запуск программы, поэтому вам не нужно будет заботиться о его создании.

Запуск и проверка программы

Запустите программу:

sxid -к

и если высветится, что «no changes found» (никаких изменений не найдено), то все в порядке.

А теперь перейдите в каталог /tmp (можно в любой другой), создайте пустой файл и установите для него права SUID:

# cd /tmp # touch test.bin # chmod +x test.bin # chmod u+s test.bin

Опять запустите программу: sxid -k

В конце мы видим: Checking for any additions or removals: +/tmp/test.bin *root.*root - 6755

Checking for changed attributes or sums/inodes:

Checking for no user/group matches:

Checking for forbidden s[ug]id items: tmp/test.bin *root.*root 755

Программа нашла созданный нами файл и изменила его права доступа, сняв специальные биты.

sxid_проверка.txt · Последние изменения: 2013/02/25 15:44 — 46.231.215.230