Was einem sofort in den Sinn kommt, ist, dass ein unterprivilegierter Benutzer in der Lage ist, Dinge beim Booten als root auszuführen , was für Cracker wünschenswert ist, die:
- Möchten Sie die Berechtigungen anderer Konten erweitern?
- Möchten Sie Ihren Server als Host für einen Rogue-Service verwenden?
- Möchten Sie IRC / Spam-Bots starten, wenn der Server neu gestartet wird
- Sie möchten ein Mutterschiff anpingen, um "I'm up again" zu sagen und möglicherweise eine neue Nutzlast herunterzuladen
- Willst du ihre Spuren bereinigen
- ... andere Schlechtigkeit.
Dies ist möglich, wenn Ihr unterprivilegierter Benutzer auf irgendeine Weise gefährdet ist, möglicherweise durch einen anderen Dienst (http / etc). Die meisten Angreifer führen schnell ein ls
oder ein oder find
mehrere /etc
Aktionen aus, um festzustellen, ob solche Möglichkeiten bestehen. Es gibt Shells, die in verschiedenen Sprachen geschrieben sind, die sie verwenden, was dies einfach macht.
Wenn Sie den Server remote verwalten, meistens über SSH, ist die Wahrscheinlichkeit sehr hoch, dass Sie dies erst sehen, wenn Sie das Init-Skript überprüfen, da Sie die Ausgabe beim Booten nicht sehen (Sie sollten jedoch etwas verwenden, das dies betrifft) prüft die Hashes dieser Skripte gegen bekannte Hashes, um festzustellen, ob sich etwas geändert hat, oder ob Versionskontrollsoftware usw. vorhanden ist
Das soll auf keinen Fall passieren, root muss dieses Init-Skript besitzen. Sie könnten die Entwicklung Benutzer in der Liste der sudoers hinzufügen , so dass es bequem genug ist , um das Skript zu aktualisieren, aber ich würde nicht benachteiligten Schreibzugriff auf erlauben rät alles in init.d