Redhat'te “kernel.suid_dumpable = 1” ne anlama geliyor?

9

Bazı günlük dosyalarını kopyalamak ve sonra Red Hat kutusunda bir hizmeti yeniden başlatmak için bir bash betiği çalıştırıyorum. Komut dosyasını her çalıştırdığımda, konsolumda aşağıdakileri alıyorum:

[root@servername ~]# sh /bin/restart_nss.sh
kernel.suid_dumpable = 1
Stopping Service: [ OK ]
Starting Service: [ OK ]
[root@servername ~]#

Bu durumda "kernel.suid_dumpable = 1" ne anlama geliyor?

Teşekkürler, IVR Avenger

bash  shell  redhat 
IVR Avenger
kaynak

Yanıtlar:

13

Bazı Arka Planlar:

Setuid biti:
Yürütülebilir bir dosyadaki setuid biti, herhangi bir kullanıcı tarafından çalıştırılan yürütülebilir dosyaların yürütülebilir dosya sahibi tarafından çalıştırılıyormuş gibi çalıştırılmasını sağlar. Bu nedenle, setuid, root'un sahibi olduğu bir programda ayarlanırsa, kim çalıştırırsa çalıştırılsın, kök ayrıcalıklarıyla çalıştırılır. Elbette o kadar basit değil, bu wikipedia makalesine bakın veya Steven'ın Unix Ortamında Programlama'nın bir kopyasını alın.

Çekirdek Dökümü:
Çekirdek dökümü, programın çalışma belleğinin bir dosyaya dökümüdür. Bkz bu wikipedia makale .

suid_dumpable :
Çekirdeğin yukarıda açıklandığı gibi bir setuid programından atılabileceğini kontrol eder. Aşağıya bakınız. Bu bir çekirdek ayarlanabilir, ile değiştirebilirsiniz:

sudo sysctl -w kernel.suid_dumpable=2

Bu ayarla ilgili, kaynak kodunuzun dokümantasyonunda, kurulduysa, /usr/src/linux-source-2.6.27/Documentation/sysctl/ gibi bir dizinde bulabilirsiniz. Bu durumda, aşağıdaki başvuru bu dizindeki fs.txt dosyasındadır. uname -aÇekirdek sürümünüzü bulmak için komutu kullanın .

Neden Önemlidir:

Bu bir güvenlik riski olabilir:
Yani ana çekirdekler varsa ve düzenli bir kullanıcı bunları okuyabilirse ayrıcalıklı bilgiler bulabilirler. Program iyi bir şekilde dökülürse, bellekte ayrıcalıklı bilgiler vardı ve kullanıcı dökümü okuyabilir, bu ayrıcalıklı bilgileri bulabilir.

Referans:

This value can be used to query and set the core dump mode for setuid
or otherwise protected/tainted binaries. The modes are

0 - (default) - traditional behaviour. Any process which has changed
   privilege levels or is execute only will not be dumped
1 - (debug) - all processes dump core when possible. The core dump is
   owned by the current user and no security is applied. This is
   intended for system debugging situations only.
2 - (suidsafe) - any binary which normally not be dumped is dumped
   readable by root only. This allows the end user to remove
   such a dump but not access it directly. For security reasons
   core dumps in this mode will not overwrite one another or 
   other files. This mode is appropriate when adminstrators are
   attempting to debug problems in a normal environment.
Kyle Brandt
kaynak
fs.txt yanı çevrimiçi buradadır: kernel.org/doc/Documentation/sysctl/fs.txt
Sundae
1

Setuid işlemlerinden çekirdek dökümleri alıp alamayacağınızı belirler.

Orijinal yamadan bazı bilgiler 

+suid_dumpable:
+
+This value can be used to query and set the core dump mode for setuid
+or otherwise protected/tainted binaries. The modes are
+
+0 - (default) - traditional behaviour. Any process which has changed
+   privilege levels or is execute only will not be dumped
+1 - (debug) - all processes dump core when possible. The core dump is
+   owned by the current user and no security is applied. This is
+   intended for system debugging situations only.
+2 - (suidsafe) - any binary which normally not be dumped is dumped
+   readable by root only. This allows the end user to remove
+   such a dump but not access it directly. For security reasons
+   core dumps in this mode will not overwrite one another or 
+   other files. This mode is appropriate when adminstrators are
+   attempting to debug problems in a normal environment.
Travis Campbell
kaynak
Yani, bu kesinlikle bilgilendirici mi? Bana başladığım süreçten ne tür bir çöplük alabileceğimi mi söylüyor?
IVR Avenger
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.