出现以下/var/log/messages,是什么意思?
Feb 19 22:51:20 kernel: [ 187.819487] non-matching-uid symlink following attempted in sticky world-writable directory by sh (fsuid 1001 != 0)
它发生在 cron 作业即将运行时。
通过将符号链接指向某个重要文件(/etc/passwd、/etc/shadow 等),可以诱使特权进程覆盖它。例如,如果您知道 root 将运行一个在 /tmp 中创建文件的程序,您可以通过猜测文件名(通常是 /tmp/fooXXX,其中 foo 是程序名,XXX 是进程 ID)并用指向 /etc/shadow 的可能候选填充 /tmp。后来,root 打开 /tmp 中的文件,截断并覆盖 /etc/shadow,突然就没有人可以登录系统了。有一种相关的攻击利用检查临时文件的存在和创建文件之间的竞争条件。
有一些方法可以避免这个问题,包括谨慎使用 mktemp() 和 mkstemp(),但并非所有程序员和用户都会意识到这种风险。因此,最近提出了一个 Linux 内核补丁,显然它已应用于您正在使用的内核。该补丁可防止在可能已植入恶意链接的一种常见情况下使用以下符号链接:设置了粘滞位的世界可写目录,这是 /tmp 在 Unix 系统上通常配置的方式。尝试的系统调用失败并显示 EACCES,而不是遵循符号链接,内核会记录您看到的消息。
| 归档时间: |
|
| 查看次数: |
1359 次 |
| 最近记录: |