Buscar archivos SUID y SGID con find 

Copyright © 2005-2017 LinuxTotal.com.mx
Se concede permiso para copiar, distribuir y/o modificar este documento siempre y cuando se cite al autor y la fuente de linuxtotal.com.mx y según los términos de la GNU Free Documentation License, Versión 1.2 o cualquiera posterior publicada por la Free Software Foundation.

Autor: Sergio González D.  

En el artículo de LinuxTotal.com.mx sobre permisos se explica lo que es un archivo con permisos SUID o SGID, pueden ser potencialmente peligrosos porque básicamente se trata de ficheros ejecutables propiedad de root y a los que se les permite ser ejecutados por cualquier usuario normal del sistema. Los permisos de este tipo de archivos se ven asi:

#> ls -l /bin/mount
-rwsr-xr-x 1 root root 90192 2007-10-11 10:29 /bin/mount

Nótese la 's' en vez de la 'x' en los permisos del propietario, esto es el bit SUID (Set UserID), que permite que el programa sea ejecutado por cualquier otro usuario del sistema, el bit SGID (Set GroupID) es lo mismo para los permisos del grupo.

En sistemas con varios usuarios, esto es peligroso, se debe de tener cuidado que archivos se dejan con este tipo de permisos, ya que pueden ser mal usuados o incluso 'troyanizados', es decir, sustituidos por otro idénticos en funcionalidad, pero cuando se ejecuta, además de hacer su trabajo puede por ejemplo abrir un puerto, copiar archivos, establecer una conexión, eliminar archivos, lo que sea, ya que el archivo pertenece a root!!!.

Para encontrar ficheros o archivos con los bits de permisos suid y sgid activadas, la manera más fácil y rápida es con el comando find:

#> find / -perm -4000 -ls
5931076   96 -rwsr-xr-x   1 root     root        90192 oct 11 10:29 /bin/mount
5931116   24 -rwsr-xr-x   1 root     root        23156 sep 12 12:13 /bin/mount.cifs3
5931053   24 -rwsr-xr-x   1 root     root        20824 sep  6 15:24 /bin/su
5931079   76 -rwsr-xr-x   1 root     root        72020 oct 11 10:29 /bin/umount
5931062   32 -rwsr-xr-x   1 root     root        32520 sep 19 16:46 /bin/ping
2916530   72 -r-sr-xr-x   1 root     root        67080 sep 26 08:31 /sbin/mount.nfs
2916364   20 -rwsr-xr-x   1 root     root        18816 sep 20 09:51 /sbin/unix_chkpwd
2916363   16 -rwsr-xr-x   1 root     root        13020 sep 20 09:51 /sbin/pam_timestamp_check
5358576  128 ---s--x--x   2 root     root       126344 sep 13 11:43 /usr/bin/sudo

Indicamos que find busque desde la raíz '/' del sistema de archivos, todo lo que tenga permisos '-perm' del tipo SUID, es decir '-4000' y despliegue el resultado en formato de ls -l

Solo cambiamos un poco para buscar los que tengan el bit SGID:

#> find / -perm -2000 -ls
786770    4 drwxrwsr-x   2 root     mail         4096 oct 29 03:51 /var/log/mailman
786768    4 drwxrwsr-x   2 root     mail         4096 mar  7  2007 /var/lib/mailman/qfiles
738370    4 drwxrwsr-x   2 root     mail         4096 oct 28 21:42 /var/lib/mailman/data
819514    4 drwxrwsr-x   2 root     adm          4096 sep 12 12:12 /var/lib/samba/printers/WIN40
134628    4 drwxrwsr-x   2 root     mail         4096 jul 27 10:17 /var/spool/mail
2916472    4 -rwxr-sr-x   1 root     root         3908 oct  3 16:49 /sbin/netreport
9523868   12 -rwxr-sr-x   1 root     tty          8912 oct 11 10:29 /usr/bin/write
9530735   84 -rwsr-sr-x   1 root     mail        79944 sep 16 03:17 /usr/bin/procmail
5358037   88 -r-xr-sr-x   1 root     games       85536 sep 19 04:55 /usr/bin/same-gnome

O agrupamos los dos permisos entre paréntesis con el caracter de escape '\' y con la opción '-o' que indica 'este o aquel' un or booleno pues.

#> find / \( -perm -4000 -o -perm 2000 \) -ls 

Como los listados suelen ser bastante largos, puedes redireccionar la salida del comando a un archivo con '>', para ser analizado con calma.

#> find / \( -perm -4000 -o -perm 2000 \) -ls > archivos_con_suid_sgid.txt

Decide que ejecutables eliminar estos bits, es tedioso, pero tu sistema será mucho más seguro al restringir lo que los usuarios normales pueden ejecutar.


LinuxTotal en:

Si encuentras útil la información que proveé LinuxTotal, considera realizar un donativo que estimule a seguir proporcionando contenido de calidad y utilidad. Gracias.

Más artículos de LinuxTotal

En Linux hay diversas herramientas para empaquetar y comprimir archivos, tomando en cuenta que empaquetar es juntar dos o más arc....


Archivos como el de configuración de samba /etc/samba/smb.conf suelen tener comentarios que explican o detallan la variable a con....


Una de las dificultades con una base de datos MySQL grande y activa es la de realizar respaldos limpios sin tener que desconectar ....


En Linux existen tres formas de controlar y mostrar la marca del tiempo en archvios y directorios. Asi es, cuando creas o editas u....


Una tarea administrativa algo común, es eventualmente tener que añadir un nuevo disco duro (IDE) al o a los que ya se tienen, de....


Cuando tu creas un documento de texto en MSDOS/Windows (como por ejemplo en notepad.exe), Windows añade al final de cada línea u....


Este es un pequeño y útil tip que te permitirá crear PDF's a partir de páginas del manual. Cuando deseas ver la ayuda de un co....


Entre los administradores de sistemas Linux es común el término 'one liners', algo asi como 'los de una línea', y se refiere a ....


Cron es el nombre del programa que permite a usuarios Linux/Unix ejecutar automáticamente comandos o scripts (grupos de comandos)....


ssh es quizás (en mi opinión) la mejor herramienta de comunicación que existe cuando se trata de establecer contacto con un ser....



Copyright © LinuxTotal.com.mx 2006-2017
info@linuxtotal.com.mx · linuxtotal.com.mx@gmail.com