alterando as permissões do ldd de 755 para a lógica não executável e de segurança

Question

alterando as permissões do ldd de 755 para a lógica não executável e de segurança

Navegue suas respostas

#1 resposta do (3 votos)
#2 resposta do (3 votos)

1

Meu sistema é o Novell SLES 11.4 x86-64.

Eu fui apresentado com:

The ldd command must be disabled unless it protects against the execution of untrusted files.

Se você pesquisar no Google acima, poderá obter mais informações sobre isso com facilidade.

A configuração oem de /usr/bin/ldd é root.root com permissões 0755.

Também foi declarado "Um método aceitável de desabilitar 'ldd' está mudando seu modo para 0000"

Se eu fizer isso e desabilitar ldd completamente, meu sistema não funcionará. A primeira ramificação que encontrei imediatamente foi que o YAST não funciona.

O primeiro compromisso foi fazer chmod 644 /usr/bin/ldd enquanto deixa o arquivo de propriedade de root.root . Isso ainda causa problemas e erros ao executar softwares legítimos (onde muito dinheiro é gasto em licenciamento).

Então, concluí que essa solicitação é antiquada ou ruim.

Procurando por pensamentos e amp; sugestões, obrigado.

permissions security

por ron 24.08.2016 / 17:13

2 respostas

Tags permissions security

É legal ignorar aliases? Eu quero criar um arquivo chamado "Lista de Compras" (2 palavras no nome deste arquivo)

score 3 · Answer 1

Eu nunca ouvi falar deste conselho antes, e é simplesmente errado.

No Linux, ldd normalmente é um script bash e acaba fazendo o equivalente a

LD_TRACE_LOADED_OBJECTS=1 /lib64/ld-linux-x86-64.so.2 your_program

Portanto, ldd na verdade não executa "qualquer" programa em si, mas chama o carregador binário e que tenta executar seu programa.

(O restante do script é basicamente um invólucro para descobrir o ld.so correto para a chamada; por exemplo, 32 bits, 64 bits etc.).

A remoção de permissões de ldd não gera ganhos de segurança no Linux.

score 3 · Answer 2

Isso se refere a CVE-2009-5064 , que é corrigido no SLES desde o 11º SP1. Portanto, você deve estar coberto pela cláusula “protege contra a execução de arquivos não confiáveis”. Você pode encontrar mais informações sobre a vulnerabilidade e uma prova de conceito aqui .