LPIC Level1 勉強(17)
サーバをクラックされたときに、SUIDが設定されたファイルを探す
SUID(Set User ID)とは、実行ファイルに設定される属性。
これが設定されていると、実行ファイルは所有者権限で動作する。
所有者がスーパーユーザの実行ファイルにSUIDが設定されてしまうと、
一般ユーザがスーパーユーザ権限で実行ファイルを動作させることができるので、危険。
find コマンドで-permオプションを使う。(permission)
# find / -perm -u+s -print
パスワードファイル
/etc/passwd
アクセス権:-rw-r--r--
/etc/shadow
アクセス権:-r--------
ファイルを開いているプロセスの表示
# lsof -i -n -P
サーバの開いてるポートをチェック
# nmap localhost
sudoの設定ファイル
/etc/sudoers
ulimit
ユーザーが使用できるリソースの制限を設定するコマンド
whoコマンドでサーバにログインしているユーザを表示させないようにする
whoコマンドは、
/var/run/utmp
ファイルからユーザのログイン情報を表示しているので、
このファイルを消せばよい。