- PVSM.RU - https://www.pvsm.ru -
Всем привет!
Предлагаю сделать простую проверку безопасности на ваших серверах.
Суть проверки очень проста. Мы переключаемся под пользователя, из-под которого запущены сервисы, такие как вебсервер или база данных, и смотрим в какие файлы в системе он может читать и писать. Запускать надо из-под всех пользователей, из-под которых работают смотрящие в мир сервисы. Если раньше никогда не делали, могут окрыться бездны, но не паникуйте и быстренько все поправьте.
Замечу, что например апачевский юзер не должен иметь прав на изменение и удаление апачевских логов.
С Новым Годом!
su -l www-data
find / -type d ( -wholename '/dev/*' -o -wholename '/sys/*' -o -wholename '/proc/*' ) -prune -o -exec test -r {} ; -exec echo {} is readable ; 2>/dev/null
su -l www-data
find / -type d ( -wholename '/dev/*' -o -wholename '/sys/*' -o -wholename '/proc/*' ) -prune -o -exec test -w {} ; -exec echo {} is writable ; 2>/dev/nullsu -m httpd -c /usr/local/bin/bash
find / -type d ( -name dev ) -prune -o -exec test -r {} ; -exec echo {} is readable ; 2>/dev/null
su -m httpd -c /usr/local/bin/bash
find / -type d ( -name dev ) -prune -o -exec test -w {} ; -exec echo {} is writable ; 2>/dev/null
P.S.
Вывод этих команд можно перенаправить в файлик и потом смотреть его удобными средствами, например
cut -d'/' -f1,2,3 < write.out | sort -u
Автор: sistemshik
Источник [1]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/linux/23734
Ссылки в тексте:
[1] Источник: http://habrahabr.ru/post/164245/
Нажмите здесь для печати.