Помогите с анализом логов безопасности. Есть подозрения что меня поимели.
Но из-за неопотности я не могу понять из логов что норма, а что нет.
Так нашел 18 sqid фалов
Так нашел 43 suid фалов
И самое страшное 2638 файлов доступных на запись любому, причем это не мои фалы, не из юзердиров.
Привожу логи. К сожалению не нашел как их тут прикрепить файлами.
[root@evil security]# uname -a
Linux evil 2.6.31.6-166.fc12.i686.PAE #1 SMP Wed Dec 9 11:00:30 EST 2009 i686 i686 i386 GNU/Linux
== SGID =================================================================================
33470 100 -rwxr-sr-x 1 root nobody 101372 Ноя 2 16:04 /usr/bin/ssh-agent
104476 20 -rwxr-sr-x 1 root mail 17116 Июл 28 09:17 /usr/bin/lockfile
63450 156 -r-xr-s--x 1 root games 157124 Окт 20 06:31 /usr/bin/gnomine
94287 184 -rwxr-sr-x 1 root games 186416 Сен 10 20:20 /usr/bin/gnuchess
108820 8 -rwxr-sr-x 1 root abrt 7104 Ноя 22 23:34 /usr/bin/abrt-pyhook-helper
123856 360 -rwxr-sr-x 1 root screen 368308 Сен 25 16:39 /usr/bin/screen
26841 44 -rwsr-sr-x 1 root root 44232 Ноя 5 19:13 /usr/bin/crontab
14086 36 -rwx--s--x 1 root slocate 35644 Окт 5 17:13 /usr/bin/locate
108808 12 -r-xr-sr-x 1 root tty 10900 Сен 17 21:12 /usr/bin/wall
109491 12 -rwxr-sr-x 1 root tty 10128 Дек 15 16:43 /usr/bin/write
108413 348 -r-xr-s--x 1 root games 352428 Окт 20 06:31 /usr/bin/iagno
14138 108 -r-xr-s--x 1 root games 109036 Окт 20 06:31 /usr/bin/same-gnome
103795 20 -rwx--s--x 1 root lock 17336 Дек 3 11:04 /usr/sbin/lockdev
27630 832 -rwxr-sr-x 1 root smmsp 849656 Сен 16 22:55 /usr/sbin/sendmail.sendmail
61406 16 -rwx--s--x 1 root utmp 13068 Дек 4 00:19 /usr/lib/vte/gnome-pty-helper
132640 60 -rwxr-sr-x 1 root root 59780 Ноя 15 03:56 /usr/libexec/kde4/kdesud
12103 8 -rwx--s--x 1 root utmp 6868 Июл 27 02:45 /usr/libexec/utempter/utempter
112469 8 -rwxr-sr-x 1 root root 6152 Дек 5 18:14 /sbin/netreport
== SUID =================================================================================
55310 40 -rwsr-xr-x 1 root root 36876 Июл 26 16:22 /bin/ping6
109215 32 -rwsr-xr-x 1 root root 32712 Дек 11 21:44 /bin/su
500370 28 -rwsr-xr-x 1 root root 25476 Ноя 19 22:23 /bin/fusermount
54509 44 -rwsr-xr-x 1 root root 42072 Июл 26 16:22 /bin/ping
124280 48 -rwsr-xr-x 1 root root 47524 Дек 15 16:43 /bin/umount
53722 72 -rwsr-xr-x 1 root root 70348 Дек 15 16:43 /bin/mount
34075 176 -rwsr-xr-x 1 root root 176780 Ноя 20 19:16 /usr/kerberos/bin/ksu
97612 16 -rws--x--x 1 root root 16168 Дек 15 16:43 /usr/bin/chfn
81072 8 -rwsr-xr-x 1 root root 6884 Дек 14 19:41 /usr/bin/kpac_dhcp_helper
305567 948 -rwsr-xr-x 1 root root 969412 Авг 14 2007 /usr/bin/x0vncserver
33870 172 ---s--x--x 2 root root 172832 Авг 21 15:24 /usr/bin/sudoedit
17570 20 -rwsr-xr-x 1 root root 19500 Сен 16 22:41 /usr/bin/rcp
23993 24 -rwsr-xr-x 1 root root 22648 Сен 14 16:14 /usr/bin/passwd
16763 60 -rwsr-xr-x 1 root root 61228 Сен 7 19:04 /usr/bin/gpasswd
11322 32 -rwsr-xr-x 1 root root 28968 Сен 7 19:04 /usr/bin/newgrp
305553 3856 -rwsr-xr-x 1 root root 3947716 Авг 14 2007 /usr/bin/Xvnc
61415 16 -rws--x--x 1 root root 14984 Дек 15 16:43 /usr/bin/chsh
105293 1888 -rws--x--x 1 root root 1931580 Ноя 6 03:45 /usr/bin/Xorg
17541 12 -rwsr-xr-x 1 root root 9192 Сен 16 22:41 /usr/bin/rsh
109445 52 -rwsr-xr-x 1 root root 52140 Окт 13 17:45 /usr/bin/at
500344 60 -rwsr-xr-x 1 root root 59980 Сен 7 19:04 /usr/bin/chage
17540 16 -rwsr-xr-x 1 root root 14448 Сен 16 22:41 /usr/bin/rlogin
26841 44 -rwsr-sr-x 1 root root 44232 Ноя 5 19:13 /usr/bin/crontab
500625 808 -rwsr-xr-x 1 root root 823932 Ноя 11 20:20 /usr/bin/kppp
102401 16 -rwsr-xr-x 1 root root 16104 Окт 20 17:43 /usr/bin/pkexec
33870 172 ---s--x--x 2 root root 172832 Авг 21 15:24 /usr/bin/sudo
94737 8 -rwsr-xr-x 1 root root 5872 Дек 14 19:41 /usr/bin/kgrantpty
24407 8 -rwsr-xr-x 1 root root 7060 Дек 5 18:14 /usr/sbin/usernetctl
98477 8 -rwsr-x--- 1 root gnokii 7480 Сен 7 20:12 /usr/sbin/mgnokiidev
30588 12 -r-s--x--- 1 root apache 11124 Дек 3 18:26 /usr/sbin/suexec
103130 8 -rwsr-xr-x 1 root root 6840 Окт 28 16:11 /usr/sbin/userisdnctl
24071 32 -rws--x--x 1 root root 29880 Окт 5 23:10 /usr/sbin/userhelper
79173 8 -rwsr-xr-x 1 root root 6312 Сен 28 19:56 /usr/sbin/ccreds_chkpwd
100318 60 -rwsr-xr-x 1 root root 60944 Дек 4 18:27 /usr/lib/nspluginwrapper/plugin-config
97572 12 -rwsr-xr-x 1 root root 12272 Окт 20 17:43 /usr/libexec/polkit-1/polkit-agent-helper-1
385944 8 -rwsr-xr-x 1 root root 6592 Ноя 23 07:51 /usr/libexec/pulse/proximity-helper
274329 8 -rws--x--x 1 vcsa root 8056 Дек 22 14:06 /usr/libexec/mc/cons.saver
79217 28 -rws--x--x 1 root root 25271 Ноя 5 15:31 /usr/libexec/pt_chown
25890 208 -rwsr-xr-x 1 root root 212540 Ноя 2 16:04 /usr/libexec/openssh/ssh-keysign
55831 32 -rwsr-xr-x 1 root root 30700 Ноя 2 12:20 /sbin/unix_chkpwd
59113 8 -rwsr-xr-x 1 root root 7668 Ноя 2 12:20 /sbin/pam_timestamp_check
27605 116 -rwsr-xr-x 1 root root 116640 Дек 10 22:58 /sbin/mount.nfs
500366 52 -rwsr-x--- 1 root dbus 49452 Окт 8 03:06 /lib/dbus-1/dbus-daemon-launch-helper
Вот лог с файлами доступными на запись: http://webfile.ru/4241730
Скажите, плз, что нормально и почему, а что нет?
Можноли исправить все это, не будет ли косяков если я поменяю права у этих фалов(уберу запись и suid/sgid)?
Хорошо что хоть не пересекаются фалы suid/sgid с доступными на запись всем!
Вариант для распечатки
Информационная безопасность (Public)
(ok) on 19-Янв-10, 14:09 
