Регистрация Войти
Рейтинг:0
Jananath Banuka avatar Server

Как удалить мировые права на запись в Linux

флаг cn
Jananath Banuka

Я получил этот отчет об уязвимости, где говорится, что я Удалить мировые права на запись.

Поэтому я попытался найти файлы с записывать разрешения с помощью следующей команды:

найти / -пермь -0002 -тип ф

И мой вывод выглядит следующим образом (я удалил большую часть вывода, но все эти выходы для двух каталогов /прок и /sys

...
/proc/235399/attr/fscreate
/proc/235399/атрибут/keycreate
/proc/235399/attr/sockcreate
/proc/235399/timerslack_ns
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/user@904374614.service/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/user-runtime-dir@904374614.service/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/session-5.scope/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/cgroup.event_control
/sys/fs/cgroup/memory/cgroup.event_control
/sys/fs/cgroup/memory/init.scope/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/rngd.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/irqbalance.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-update-utmp.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/systemd-fsck@dev-disk-by\x2duuid-B055\x2dF6D2.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/var-log.mount/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-udevd-control.socket/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/lvm2-monitor.service/cgroup.event_control
...

Мой вопрос в том, является ли хорошей практикой удаление доступный для записи разрешения для этих файлов? Не повлияет ли это на сбой каких-либо запущенных программ?

47
0 + 0
Рейтинг:0
avatar Server
флаг fr
Tomek

Это файлы в псевдофайловых системах ядра (procfs и sysfs), которые управляют различным поведением ядра.

Команда для использования chmod o-w <имя файла> но я сомневаюсь, что это сработает для вышеупомянутых файлов. И даже если это сработало - в данном конкретном случае это может негативно сказаться на стабильности вашей системы.

0 + 0
Jananath Banuka avatar
флаг cn
Jananath Banuka
Спасибо за объяснение. Не могли бы вы сказать мне, каких других путей я должен ИЗБЕГАТЬ?
0
Ответить
флаг fr
Tomek
`/dev` обязательно. Но в большинстве случаев дистрибутивы Linux правильно настроены в этом отношении. Вас должны волновать только разрешения ваших собственных файлов, которые в 99% случаев должны находиться в вашем домашнем каталоге.
0
Ответить
Jananath Banuka avatar
флаг cn
Jananath Banuka
Я использовал команду `find / -perm -o+w`, и теперь я получаю другой результат для каталогов `/opt` и `/tmp`. Кажется, это символические ссылки... Должен ли я беспокоиться об этом тоже?
0
Ответить
флаг fr
Tomek
Вы не сказали, какой у вас дистрибутив, я использую дистрибутив на основе `rpm`, и он позволяет вам проверять установленные файлы, запуская `rpm -Va` (от root). Что-либо с `M` во втором столбце указывает, что режим файла (разрешения) был изменен с момента установки. Насчет `/opt` точно сказать не могу, насчет `/tmp` - зависит. Он содержит временные файлы (а иногда и сокеты и каналы), и в некоторых случаях они должны быть доступны для записи всем.Но обычные временные файлы, принадлежащие вам, которые доступны для записи всем, немного подозрительны и могут потребовать более тщательного изучения.
0
Ответить
Jananath Banuka avatar
флаг cn
Jananath Banuka
У меня есть следующее: `NAME="Red Hat Enterprise Linux" ВЕРСИЯ = "8.5 (Отпа)" ID="рхел" ID_LIKE="федора" VERSION_ID="8.5" PLATFORM_ID="платформа:el8" PRETTY_NAME="Red Hat Enterprise Linux 8.5 (необработанный)"`
0
Ответить
флаг fr
Tomek
Затем вы можете использовать `rpm` для проверки измененных файлов. Но, пожалуйста, отнеситесь к этому с долей скептицизма, некоторые файлы БУДУТ изменяться по мере того, как вы настраиваете систему в соответствии с вашими потребностями.
0
Ответить
Рейтинг:0
avatar Server
флаг in
Gerald Schneider

Совершенно бесполезно удалять эти разрешения. /прок и /sys не являются постоянными файловыми системами, после следующей перезагрузки они снова будут такими же.

0 + 0
Jananath Banuka avatar
флаг cn
Jananath Banuka
Есть ли какие-то пути, которые я должен ИЗБЕГАТЬ, как это?
0
Ответить
флаг in
Gerald Schneider
запустить `mount`. В основном все, что не является *настоящей* файловой системой для хранения.
0
Ответить
Jananath Banuka avatar
флаг cn
Jananath Banuka
То есть всем, что выходит в mount, можно пренебречь?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.