/var/log/data/リモートの場所(httpなど)からデータを受信し、いくつかのmydirにローカルに保存するローカルサービスを持つホストがあります。
$ ls -al /var/log/data
drwxr-sr-x+ 4 root datalog 4096 Feb 4 18:59 .
drwxr-xr-x 4 root root 4096 Feb 4 18:59 ..
drwxr-sr-x+ 2 root service 4096 Feb 4 19:07 mydir
ローカルサービスはservice:serviceの所有権で実行されます。
次の場所でエクスプロイトの実行をブロックしたいとします/var/log/data/mydir。
-rwxr-sr-x 1 root service 133156 Jul 19 2014 exploit
エクスプロイトファイルの「s」(setgid)ビットに注意してください。これにより、サービスグループ権限(ローカルサービスと同じ)で実行することができます。
潜在的な脆弱性が実行されるのを防ぐ方法は?そして(go-x)から
「x」を削除しますか?サービスの操作に支障をきたすこともあります...?別のアイデアがありますか?/var/log/data//var/log/data/mydir
ベストアンサー1
私が見ることができるように、グループや他の人は書き込み権限を持っていないので、ここにファイル/ディレクトリを作成することはできません。
ルートから書き込み権限を削除すると、どうなるかを確認できます。