LPIC Level1 勉強(17)

サーバをクラックされたときに、SUIDが設定されたファイルを探す

SUID（Set User ID）とは、実行ファイルに設定される属性。

これが設定されていると、実行ファイルは所有者権限で動作する。

所有者がスーパーユーザの実行ファイルにSUIDが設定されてしまうと、

一般ユーザがスーパーユーザ権限で実行ファイルを動作させることができるので、危険。

find コマンドで-permオプションを使う。(permission)

# find / -perm -u+s -print

パスワードファイル

/etc/passwd

アクセス権：-rw-r–r–

/etc/shadow

アクセス権：-r——–

ファイルを開いているプロセスの表示

# lsof -i -n -P

サーバの開いてるポートをチェック

# nmap localhost

sudoの設定ファイル

/etc/sudoers

ulimit

ユーザーが使用できるリソースの制限を設定するコマンド

whoコマンドでサーバにログインしているユーザを表示させないようにする

whoコマンドは、

/var/run/utmp

ファイルからユーザのログイン情報を表示しているので、

このファイルを消せばよい。