Почему проблема безопасности связана с / usr / sbin, принадлежащей bin?

Руководство по установке и эксплуатации Sendmail (§1.3.1) утверждает:

Из соображений безопасности /, / usr и / usr / sbin должны принадлежать root, режим 0755 2
[…]
2 Некоторые поставщики отправляют их в собственность; это создает отверстие безопасности, которое фактически не связано с sendmail . […]

Почему это дыра в безопасности? Существуют ли системы, которые запускают процессы как пользовательский bin?

One Solution collect form web for “Почему проблема безопасности связана с / usr / sbin, принадлежащей bin?”

Не считая «групповых» и «других» разрешений, что-то принадлежащее root только root имеет полный контроль над файлом / directory.

Что-то принадлежащее другому пользователю означает, что пользователь в дополнение к root имеет полный контроль над этим файлом. Теперь у вас есть два объекта, которые имеют полный контроль над этим файлом / каталогом, тогда как раньше у вас был только один.

Это особенно плохо для исполняемых файлов, размещенных в стандартных местах, так как другие пользователи в системе могут его вызвать, а владелец может заменить исполняемый файл по своей воле, возможно, используя его для злонамеренных средств. Надеемся, что в этой системе пользовательский «bin» не может быть зарегистрирован в интерактивном режиме через нулевую оболочку или аналогичный в /etc/passwd . Я уверен, что это делается для того, чтобы менеджер пакетов не мог запускаться с правами root. Это само по себе, вероятно, приносит другие преимущества.

Однако, если только каталог / usr / sbin принадлежит bin, а не исполняемые файлы внутри, то это не так плохо.

  • Как защитить Apache / MySql / PHPMyAdmin от атаки грубой силы / словаря? (Fail2ban?)
  • Нужно ли мне удалять все «java | jre» пакеты из моей системы, чтобы быть уверенным в уязвимости java?
  • OpenVPN - Ошибка привязки Socket на локальном адресе IP: 1194: Невозможно назначить запрошенный адрес
  • Есть что-то вроде одноразового судо?
  • Как смягчить множественную уязвимость: удаленное выполнение кода и повышение привилегий локальных пользователей на FreeBSD 11?
  • Безопасны ли sudo и gksudo?
  • Не запрашивать пароль grub
  • SSH-туннель с VNC?
  • Почему рискованно предоставлять sudo vim доступ к обычным пользователям?
  • Функции безопасности, отключенные DCO - как разморозить и восстановить?
  • SHIBBOLETH SP - обработчик Shibboleth, вызванный в неустановленном месте - Shibboleth.sso / Session /
  • Interesting Posts

    Как показать накопленное использование процессора 10 лучших процессов?

    Преобразование скриптов sysvinit / upstart init в runit

    ZFS на Linux объем низкий freespace. Usedbydataset больше, чем volsize

    как разделить буферизацию на меньшие файлы csv

    Запрос удаленного почтового сервера POP3 с использованием BASH

    Принуждение ключей для запуска сценариев bash

    Интернет-соединение теряется каждые 10-15 минут (Ethernet-кабель)

    Как получить репозиторий yum для работы в контейнере Docker?

    Как переместить строку из файла в другой файл на основе сопоставления с образцом?

    Команда, которая может находить файлы, на которые не ссылаются другие файлы, а затем удалять их

    Как я могу получить эту проприетарную камеру с низким разрешением, работающую в Linux?

    Как показать последнюю команду с расширением функции в bash

    sed ведет себя по-разному в FreeBSD и Linux?

    Согласование терминологии: Диспетчер отображения и менеджер сеансов, Система окон и оконный менеджер

    Как вы создаете символ звезды с ключевым словом в Linux?

    Linux и Unix - лучшая ОС в мире.