LINUX.ORG.RU
решено ФорумAdmin

Отследить повышение привилегий

 


0

4

Например зашел пользователь user, набрал sudo su, ввел пароль и он стал рутом. Или использовал какую-нибудь уязвимость в программе, которая дает права рута в системе. Как можно отследить, что пользователь в системе повысил права до рута ? Может где-то видутся логи, или существует сигнал какой-нибудь ?

набрал sudo su, ввел пароль и он стал рутом

sudo ведет логи

использовал какую-нибудь уязвимость в программе, которая дает права рута в системе

в общем случае ты об этом никак не узнаешь. Только по косвенным признакам.

morse ★★★★★ ()
Ответ на: комментарий от sa1mon

Даже если бы такой сигнал и был, я сомневаюсь что эксплойт будет так добр чтобы специально его послать.

А какие - те же логи. Человек, получивший рута, начинает производить какие-то действия, и эти действия могут оставить следы.

morse ★★★★★ ()
Ответ на: комментарий от sa1mon

Какие например ? Любые варианты интересуют.

Могут быть такие:

/var/log/messages
/var/log/auth.log
/var/log/lastlog
/var/log/secure
/var/log/wtmp
/var/log/utmp

Точное нету сигнала соответствующего повышению привилегий?

Можно перехватывать все вызовы execve() и вести лог запускаемых рутом процессов... Навеяло недавней темой :D

Nietzsche ()

Ну стандартные методы повышения привилегий типа sudo и su ведут соответствующие логи. А эксплойт на то и эксплойт, что использует недокументированную возможность и уследить за ним напрямую невозможно (потому что никто не знает, что ТАК можно повысить привилегии, а если узнают, то закрывают уязвимость).

Только вот root это царь и бог в unix-системах. А значит при желании он может логи и подтереть.

KivApple ★★★★★ ()
Ответ на: комментарий от KivApple

auditd позволяет отслеживать подозрительные системные вызовы

Только вот root это царь и бог в unix-системах. А значит при желании он может логи и подтереть.

Благородный дон не в курсе про selinux?

Dark_SavanT ★★★★★ ()
Последнее исправление: Dark_SavanT (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.