我正在尝试使用 Ubuntu 22 Pro 提供的工具来运行审核,但总是卡在同一条规则上。具体来说,在执行以下命令时:
sudo usg audit cis_level1_workstation
或者sudo usg audit cis_level1_server
它卡在了:
标题用户初始化文件不得运行全球可写程序规则 xccdf_org.ssgproject.content_rule_accounts_user_dot_no_world_writable_programs
我该怎么办?我尝试过多个终端,但总是发生同样的事情。
抱歉我不应该把它发到这里。
提前致谢。
答案1
一般而言,此注释表示某些配置文件具有可写入和读取的“全局”权限。“全局”权限意味着每个人(用户、组、其他人)都可以更改该文件,这意味着存在安全风险。
使用 检查相关文件ls -la
。结果列表可能如下所示:
-rw-r--r-- 1 root root 0 Dec 15 09:59 secure.conf
-rw-rw-rw- 1 root root 0 Dec 15 09:58 world.conf
world.conf 可由任何人更改。要更改这些权限,请使用以下命令
chmod go-w world.conf
将使该配置文件仅对所有者可写入:
-rw-r--r-- 1 root root 0 Dec 15 09:58 world.conf
根据文件所在的位置,必须使用以下命令执行命令sudo
答案2
至于命令“卡住”,其实并没有。你只需要等待它完成即可。
或者,你可以使用调试运行该命令:
sudo usg audit --debug <profile>
在单独的终端中,运行以下命令:
sudo tail -f <path to results file>
通常位于 /var/lib/usg/*.xml
您可以在生成的日志的输出中看到正在取得的进展。
原因是它正在检查许多文件及其权限以确保它们符合标准。请参阅下面有关规则的理由。
如果用户启动文件执行全球可写的程序(尤其是在不受保护的目录中),则可能会被恶意修改以破坏用户文件或以其他方式在用户级别危害系统。如果系统在用户级别受到危害,则更容易提升特权,最终在根级别和网络级别危害系统。