权限之谜——apt-get 和其他系统实用程序有 000 个权限

权限之谜——apt-get 和其他系统实用程序有 000 个权限

多年来我一直在尝试追查这种奇怪的行为。

安装软件更新后,很多系统工具的权限总是被破坏,如下所示。我有理由相信这台机器不属于其他人。定期安全更新 + grsecurity 内核 + pax + 每日 rkhunter 运行。除此之外,攻击者没有动机以如此明显的方式摆弄系统。

我安装了 bastille linux (http://bastille-linux.sourceforge.net/) 并尝试稍后卸载它,因此问题可能与此有关。但是我不明白更新后这种情况怎么会经常发生。

系统:Ubuntu 10.04,最近更新到Ubuntu 12.04但问题仍然存在。

在我看来,Apt-Configuration/etc/apt/是合理的。但是,问题可能就出在这里吗?

DPkg::Pre-Install-Pkgs {"/usr/sbin/dpkg-preconfigure --apt || true";};
DPkg::Post-Invoke { "if [ -x /usr/bin/debsums ]; then /usr/bin/debsums --
generate=nocheck -sp /var/cache/apt/archives; fi"; };
// Makes sure that rkhunter file properties database is updated 
// after each remove or install only APT_AUTOGEN is enabled
DPkg::Post-Invoke { "if [ -x /usr/bin/rkhunter ] && grep -qiE '^APT_AUTOGEN=.? 
(true|yes)' /etc/default/rkhunter;
then /usr/share/rkhunter/scripts/rkhupd.sh; fi" }
DPkg::Post-Invoke {"if [ -d /var/lib/update-notifier ]; 
then touch /var/lib/update-    notifier/dpkg-run-stamp; fi; 
if [ -e /var/lib/update-notifier/updates-available ];
then echo > /var/lib/update-notifier/updates-available; fi "; };

这些是chmod 000从哪里来的?这个问题让我感到很不安。

root@besen:~# find /usr/bin/ -perm 0 -ls
14721496  196 ----------   1 root     root       192592 Oct 15 11:58 /usr/bin/apt-get
14721144   68 ----------   1 root     root        63848 Sep 13 00:29 /usr/bin/gpasswd
root@besen:~# find /usr/sbin/ -perm 0 -ls
1727732   92 ----------   1 root     root        86984 Sep 13 00:29 /usr/sbin/usermod
1727727   64 ----------   1 root     root        57640 Sep 13 00:29 /usr/sbin/userdel
1727719   64 ----------   1 root     root        57680 Sep 13 00:29 /usr/sbin/newusers
1727718   40 ----------   1 root     root        38632 Sep 13 00:29 /usr/sbin/grpunconv
1727728   48 ----------   1 root     root        47088 Sep 13 00:29 /usr/sbin/groupadd
1727724   32 ----------   1 root     root        29584 Sep 13 00:29 /usr/sbin/pwunconv
19031620   84 ----------   1 root     root        81880 Jan  3  2012 /usr/sbin/edquota
14877113   48 ----------   1 root     root        46880 Sep 13 00:29 /usr/sbin/grpck
1727722   40 ----------   1 root     root        38632 Sep 13 00:29 /usr/sbin/pwck
1727730   96 ----------   1 root     root        91464 Sep 13 00:29 /usr/sbin/useradd
19031619   16 ----------   1 root     root        14600 Jan  3  2012     /usr/sbin/quotastats
1727720   44 ----------   1 root     root        42760 Sep 13 00:29 /usr/sbin/groupdel
1727733   36 ----------   1 root     root        34504 Sep 13 00:29 /usr/sbin/pwconv
19031621   80 ----------   1 root     root        77632 Jan  3  2012    /usr/sbin/rpc.rquotad
19030041   76 ----------   1 root     root        73600 Jan  3  2012 /usr/sbin/repquota
1727731   40 ----------   1 root     root        38624 Sep 13 00:29 /usr/sbin/grpconv
1727725   56 ----------   1 root     root        49472 Sep 13 00:29 /usr/sbin/vipw
1727723   64 ----------   1 root     root        57672 Sep 13 00:29 /usr/sbin/groupmod
root@besen:~# find /sbin/ -perm 0 -ls
16760927   76 ----------   1 root     root        73464 Jan  3  2012 /sbin/quotaon

dpkg有什么提示吗?我真的无法更详细地指出问题所在。安装更新后会出现这种情况,但我在/系统中找不到挂钩apt

答案1

事实证明,思考这个问题并在这里提出这个问题给了我答案。

Bastille 安装了一个供使用的文件dpkg-statoverride- 这些文件包含正在运行的所有可执行文件并将其权限设置为000

我现在已经删除了该文件/var/lib/dpkg/statoverride,希望问题已经解决。

我还发现了有关该问题的更多信息:

提醒自己:更频繁地阅读手册 ;)

相关内容