Nosso sistema bloqueou uma tentativa de invasão proveniente de um processo local executado sob o usuário do sistema apache .
Process not allowed.
{
"USER": "apache 16",
"PID": "617",
"%CPU": "0.0",
"%MEM": "0.0 80",
"VSZ": "556 3",
"RSS": "904",
"TTY": "?",
"STAT": "S",
"TIME": "0:00",
"COMMAND": "curl -v -u -d yyyy http://127.0.0.1:xxxx/"
}
Como o usuário do apache pode executar o curl?
Do arquivo / etc / passwd:
apache:x:48:48:Apache:/var/www:/sbin/nologin
Isso não deveria bloquear o apache de executar qualquer comando?
Estamos executando o lançamento do CentOS 6.7 (Final) com o SELinux aplicado.
Não, isso significa apenas que o usuário não pode efetuar login e executar um shell, mas pode executar comandos.
Apenas tente o seguinte, como root:
mkdir test
chown apache:apache test
sudo -u apache touch test/file
E agora o usuário apache usou o comando touch .
É a própria idéia de um usuário do sistema executar comandos / executar progams / deamons etc. com seu ID específico e as permissões seguintes.