Linux 커널은 실행 가능한 바이너리에 대한 setuid, setgid 권한을 지원합니다.
이러한 기능 없이 커널을 구축하는 것이 가능합니까?
이것이 없으면 관리자만이 시스템을 변조할 수 있습니다.
답변1
커널에서 이 기능을 제거하는 것이 가능할 수 있으며 옵션을 사용하여 suid 없이 파일 시스템을 마운트하는 것도 가능합니다 nosuid. 이것은 나에게 더 간단하고 동일한 결과를 얻을 수 있다고 생각합니다.
하지만 그것은많은기능의. 다음은 /usr/Ubuntu 18.04에서 setuid 인 `/bin/의 명령 목록입니다 .
$ find /usr /bin -perm -4000
/usr/bin/pkexec
/usr/bin/gpasswd
/usr/bin/traceroute6.iputils
/usr/bin/newgrp
/usr/bin/arping
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/passwd
/usr/bin/sudo
/usr/lib/xorg/Xorg.wrap
/usr/lib/eject/dmcrypt-get-device
/usr/lib/x86_64-linux-gnu/libgtk3-nocsd.so.0
/usr/lib/s-nail/s-nail-privsep
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/openssh/ssh-keysign
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/sbin/pppd
/bin/ping
/bin/mount
/bin/umount
/bin/su
/bin/fusermount
사용자는 더 이상 자신의 비밀번호를 변경할 수 없습니다. USB 장치를 마운트할 수 없습니다. 권한을 높일 수 없습니다. 호스트 제거를 ping할 수 없습니다. 그리고 아마도 더 많은 의도하지 않은 결과가 발생할 것입니다.
간단히 말해서, 시스템 보안이 목표라면 아마도 잘못된 세 가지를 언급하고 있을 것입니다. 더 나은 접근 방식은 아마도 표준 Linux 커널보다 더 엄격한 방식으로 사용자 권한을 적용하려고 시도하는 AppArmomur 또는 SELinux를 조사하는 것입니다. 비용이 발생합니다. 복잡성이 증가합니다.
바닐라 우분투 시스템에 이 작업을 수행하면 아마도 모든 종류의흥미로운행동.