超级会员免费看
Linux系统安全与程序故障排查实用指南
一、setuid和setgid位的调整
(一)决定关闭setuid或setgid
打造更安全系统的关键在于,找出那些无需开启setuid位的程序,然后将这些程序的该位关闭。若看到不认识的setuid或setgid程序,可在网上搜索相关信息。若不确定,可关闭其setuid或setgid位,再查看系统是否出现异常。但需注意,关闭错误的setuid或setgid位可能导致无法访问系统。因此,要熟悉程序及其权限,在使用常规登录测试程序时,保持一个具有超级用户权限的终端窗口打开。同时,建议使用sudo为有需要的用户分配额外权限,这比为所有人提供无限制访问更安全。
(二)更改setuid或setgid位
对于不常用或无法识别的程序,可考虑禁用其setuid或setgid位。不过,在禁用之前,最好先了解程序的用途。若程序存在可疑之处且可能留下安全漏洞,则可能存在安全风险。
可通过 ls -l 命令的输出判断程序是否开启了setuid或setgid位:
- 若在权限列从左数第四列看到 s ,则该程序开启了setuid位。
- 若在第七列看到 s ,则该程序开启了setgid位。
示例如下:
-rwxrwxr-- 1 fred fred 1001 Dec 13 18:50 myprogram # 普通程序,未开启setuid或setgid位
订阅专栏 解锁全文
扫一扫
1614
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
