我正在迁移我的一台 Linux 服务器,我注意到我supervisor以 的身份运行了一个启动脚本root,但该脚本可由非root用户写入,这会产生权限提升漏洞。有没有办法审核我系统上的所有启动脚本,以确保不再存在类似漏洞?
答案1
我将配置一个文件系统监控,用于监控已安装的 init 系统的相关配置文件和目录。路径取决于您运行的是 systemd 还是旧版 sysV。
要监视文件系统的变化,有很多解决方案。在 Ubuntu 中,我使用开源 Tripwire。
您可以决定监控什么,并接收电子邮件通知或以通常的方式解析其日志,并根据文件系统更改采取必要的操作。
还有更多的方法,建立在通知内核特性(自 2.6.13 开始),例如pyinotify我也知道fileschanged基于二进制的法姆。
它们都可以帮助你实现你的目标,老实说,我无法帮你比较它们并确定哪一个是最好的。
无论如何你应该:
- 在开始之前确保启动配置正确(理想情况下,这将在系统全新安装后、投入生产之前完成)。
- 安装您选择的文件系统监控解决方案。
- 监视 init 系统的相关文件和目录的文件内容和权限变化。(确保也监视 init 脚本引用的文件!!)
- 获取通知,或解析日志并对修改采取自动操作。