Специальные права доступа
Категория: Безопасность | Автор: admin | 11-06-2010, 18:06 | Просмотров: 2563

В UNIX-системах есть много файлов, для которых должны быть установлены специальные права доступа, позволяющие предупреждать возникновение проблем, связанных с безопасностью. Некоторые поставщики выпускают дистрибутивы, в которых права доступа заданы в расчете на собственную "дружественную" среду разработки. Вашей системе такие установки могут оказать "медвежью услугу".

В некоторых системах специальный файл /dev/kmem позволяет получить доступ к виртуальному адресному пространству ядра. Его используют те программы (например, ps), которые работают со структурами данных ядра. Право чтения указанного файла должно предоставляться только его владельцу и членам соответствующей группы. Если необходимо получить доступ к файлу из определенной программы, для нее должен быть установлен идентификатор группы, владеющей этим файлом (обычно это kniem). и бит SGID.

В прошлом некоторые поставщики беззаботно выпускали дистрибутивы, в которых файл /dev/kmem был доступен для чтения всем пользователям. Это создавало серьезную угрозу для безопасности системы, потому что опытный программист, получив доступ к данным и буферам ядра, мог найти там незашифрованные пароли. Если в вашей системе файл /dev/kmem могут читать все пользователи, немедленно исправьте этот промах. Правда, после внесения изменений может оказаться, что некоторые программы перестали работать. Для них следует установить бит SGID и идентификатор той группы, которой принадлежит файл /dev/kmem.

Проверьте также права доступа к файлам /dev/drum и /dev/mem, если они присутствуют в системе. Эти файлы позволяют получить свободный доступ к системной области подкачки и физической памяти и потенциально так же опасны, как и файл /dev/kmem.

Файлы /etc/passwd и /etc/group должны быть доступны для записи только владельцу (пользователю root) и его группе. Режим доступа в данном случае будет 644. Группа должна быть какой-нибудь системной группой (обычно это daemon). Чтобы пользователи, не имея права записи в файл /etc/passwd, могли изменять свои пароли, команда passwd (владельцем которой является пользователь root) выполняется с установленным битом SUID.

Пользователи, относящиеся к категории “прочие”, не должны иметь права записи в каталоги, доступные по анонимному протоколу FTP. Такие каталоги позволяют хакерам незаконно копировать программное обеспечение и другие важные файлы. Если вы управляете FTP-архивом, допускающим добавление в него файлов, не забывайте регулярно просматривать каталог добавлений.

При настройке анонимного FTP-сервера в каталог ~ftp/etc/passwd обычно копируется усеченный файл паролей (с сохранением его структуры), что позволяет правильно работать программе ls. Не забудьте удалить зашифрованные строки паролей.

Еще один потенциальный источник проблем — файлы устройств для разделов жесткого диска. Наличие права чтения и записи такого файла равнозначно наличию аналогичных прав для любого элемента файловой системы этого раздела. Право чтения-записи может иметь только суперпользователь. Члены группы иногда могут получать право чтения, что позволит им выполнять резервное копирование. Для категории "прочие" права доступа не устанавливаются.



 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page