ファイルが変更された後にsuidビットが設定されないのはなぜですか？

Question

誰かが誤ってsetuidファイルにグループまたは誰でも書き込むことができるビットを設定した場合、Unix権限でファイルを書き込むことは許可されますが、見知らぬ人はそのファイルの所有者とグループIDを変更することはできません。

したがって、修正されたカーネルは、ファイルにマルウェアが書き込まれないように、ファイルからsetuid / setgidビットを削除します。

もちろん、rootユーザーはsetuidビットを復元できますが、一般ユーザーは誰かが間違っているため、特権実行可能ファイルへの書き込みアクセス権を取得した場合、それを悪用することはできません。

そして、この領域のカーネル部分を知っているので、カーネルソースを編集して再コンパイルせずにそれを無効にできるかどうかはわかりません。

Linux の setuid スクリプトは実行後に setuid 状態を取得しません。実際、カーネルは setuid 状態なしでスクリプトソルバーを起動し、スクリプトへのフルパスを最後の解析引数として使用し、ソルバーがスクリプトを通常のスクリプトとして処理するためです。ファイルを読む。ただし、これは他のUnixシステムでは異なる場合があります。

Answer 1

誰かが誤ってsetuidファイルにグループまたは誰でも書き込むことができるビットを設定した場合、Unix権限でファイルを書き込むことは許可されますが、見知らぬ人はそのファイルの所有者とグループIDを変更することはできません。

したがって、修正されたカーネルは、ファイルにマルウェアが書き込まれないように、ファイルからsetuid / setgidビットを削除します。

もちろん、rootユーザーはsetuidビットを復元できますが、一般ユーザーは誰かが間違っているため、特権実行可能ファイルへの書き込みアクセス権を取得した場合、それを悪用することはできません。

そして、この領域のカーネル部分を知っているので、カーネルソースを編集して再コンパイルせずにそれを無効にできるかどうかはわかりません。

Linux の setuid スクリプトは実行後に setuid 状態を取得しません。実際、カーネルは setuid 状態なしでスクリプトソルバーを起動し、スクリプトへのフルパスを最後の解析引数として使用し、ソルバーがスクリプトを通常のスクリプトとして処理するためです。ファイルを読む。ただし、これは他のUnixシステムでは異なる場合があります。

ファイルが変更された後にsuidビットが設定されないのはなぜですか？

ベストアンサー1

おすすめ記事