排查SUID置位的文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
测试
find / -user root -perm -4000 -print 2>/dev/null
ls -al XXXX/xxxx 输出显示这个文件的关键权限和属性
Setuid 权限(s)
-rwsr-xr-x 中的 s 表示该文件启用了 Setuid(Set User ID) 权限。
当普通用户执行这个程序时,它会以 文件所有者(root)的权限 运行,而不是执行者的权限。
因此,无论谁运行 whoami,它都会返回 root(因为运行时权限提升为 root)
root@32c3ac1a703f:~# ls -al /usr/bin/whoami -rwsr-xr-x 1 root root 8344 Aug 4 2022 /usr/bin/whoami
去除Setuid权限
chmod u-s /usr/bin/whoami
验证
ls -al /usr/bin/whoami
浙公网安备 33010602011771号