Pessoal nesse post iremos ver como remover as permissões Suid Bit do
sistema, essas permissões mal configuradas pode causar sérios riscos ao
sistema, ela é muito utilizada por pessoas mal intencionadas para implantar uma
backdoor no sistema, iremos criar um script para procurar por arquivos que
contenham essa permissão e remove-las.
Primeiramente crie o diretório onde ele ficara.
# mkdir /etc/auditoria
# cd /etc/auditoria
Agora crie um arquivo e insira as linhas abaixo:
#!/bin/bash
echo "Verificando arquivos com permissao de SUID BIT.."
find / -perm -4000 > /etc/auditoria/lista.suid
echo -n "Deseja remover o SUID BIT dos arquivos?(S/N):"
read acao
case $acao in
S|s)
chmod -Rv -s /
echo " Permissoes de SUID BIT Removidas!"
sleep 3
exit ;;
N|n)
exit ;;
*)
echo "Opcao Invalida!!"
sleep 3
exit ;;
esac
echo "Opcao Invalida!!"
sleep 3
exit ;;
esac
Agora dê permissão de execução ao script
# chmod +x procura_suid_bit.sh
Agora você pode executar o script
# ./procura_suid_bit.sh
Antes de remover as permissões é legal ver qual são os arquivos que
contem o suid bit, de um ctrl + C e abra o aquivo lista.suid e veja os aquivos.
# pico lista.suid
Depois execute o script novamente e remova as permissões.
# ./procura_suid_bit.sh
Depois é importante que você adicione a permissão aos arquivos que
você realmente quer, é fundamental ativar o suid bit nos binários su e passwd,
para isso faça:
# chmod +s /bin/su
# chmod +s /usr/bin/passwd
Pronto é isso ai galera, mais uma dica postada, ate a próxima.
Nenhum comentário:
Postar um comentário