Linux за българи: Форуми

Здравейте !

Днес забелязах нещо много обезпокоително при мен :

Примерен код

$ ls -al ... drwxr-xr-x  20 root root  4096 Feb 18 15:39 root ... drwxr-xr-x   2 root root  4096 Feb 18 11:47 sbin

Вероятно има и други подобни нередности по диска, но не съм
наясно къде какви права трябва да има установени.

Почти никога не инсталирам програми извън хранилищата на Дебиян, а рутърът вкъщи има вградена защитна стена (споделям интернета само с един приятел). Имам подозрения, че това е станало докато миналата седмица инсталирах на първия дял на диска Ubuntu 6.10, но не съм сигурен в това.

Някой сблъсквал ли се е с подобен проблем ? Ще съм ви благодарен ако можете да ми дадете насоки какво да направя.

P.S. Ако тази информация може да помогне, ето резултата от някои команди :

Примерен код

# netstat -lt Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address           Foreign Address         State tcp        0      0 *:swat                  *:*                     LISTEN tcp        0      0 *:netbios-ssn           *:*                     LISTEN tcp        0      0 *:auth                  *:*                     LISTEN tcp        0      0 *:ftp                   *:*                     LISTEN tcp        0      0 localhost:ipp           *:*                     LISTEN tcp        0      0 *:microsoft-ds          *:*                     LISTEN tcp        0      0 *:7741                  *:*                     LISTEN # netstat -lu Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address           Foreign Address         State udp        0      0 *:7741                  *:* udp        0      0 *:ipp                   *:*

Знаеш ли, че не го бях забелязал това. Явно в Debian смятат, че е ок домашната директория на root да е читаема от всички, понеже проверих на няколко машини и навсякъде е така. За сравенение - Fedora Core не е така...

Иначе sbin си е ок, така трябва да е.

Свали си chkrootkit (apt-get install chkrootkit) и го пусни.
Ако има някаква боза - би трябвало да я засече.

Виж какво ти казва pstree - кой процес какво извиква и т.н.

Погледни какво имаш в /tmp..

Ако наистина си сигурен, че машината ти е хакната - преинсталирай. Защото никога не можеш да знаеш каква вратичка си е оставил хакера....

Благодаря за отзивчивостта. В такъв случай май е фалшива тревога. Поне аз не можах да открия нищо с chkrootkit, а pstree май не вади нищо съмнително :

Примерен код

init-+-Xprt      |-acpid      |-cron      |-cupsd      |-2*[dbus-daemon]      |-dbus-launch      |-dcopserver      |-dirmngr      |-events/0      |-gam_server      |-gconfd-2      |-gdm---gdm-+-Xorg      |           `-startkde-+-kwrapper      |                      `-ssh-agent      |-6*[getty]      |-hald---hald-runner-+-hald-addon-acpi      |                    |-hald-addon-keyb      |                    `-hald-addon-stor      |-inetd      |-kaccess      |-kded      |-kdeinit-+-firefox-bin---6*[{firefox-bin}]      |         |-gksu---su---gksu-run-helper---synaptic      |         |-kio_file      |         |-klauncher      |         `-kwin      |-kdesktop      |-kdesud      |-khelper      |-kicker      |-kio_uiserver      |-klipper      |-klogd      |-kmix      |-knodemgrd_0      |-knotify      |-korgac      |-ksmserver      |-ksoftirqd/0      |-kthread-+-aio/0      |         |-irda_sir_wq      |         |-kacpid      |         |-kblockd/0      |         |-khpsbpkt      |         |-khubd      |         |-4*[kjournald]      |         |-kpsmoused      |         |-kseriod      |         |-kswapd0      |         |-pccardd      |         `-2*[pdflush]      |-kxkb      |-lisa      |-lpd      |-migration/0      |-smbd---smbd      |-syslogd      |-udevd      |-vmnet-bridge      |-vsftpd      |-winbindd---winbindd      |-xfs      `-yakuake-+-2*[bash]                |-bash---su---bash---pstree                `-bash---mc---bash

П.П. И все пак не мога да разбера защо почти всичко от /sbin може да се чете и изпълнява от всички потребители. До колкото си спомням в Slackware например не беше така.

между другото аз също преди време забелязах тази "странност" за правата на "/root" директорията при gentoo.......

оправих ги ръчно ама така и не се разрових има ли някаква причина за това

//offtopic

Цитат

$ ls -al /root/ ls: cannot open directory /root/: Permission denied

Отговор на ls на инсталация на Gentoo на по-малко от месец.
Същият отговор под Fedora Core 6. Не съм променял права на root директорията.

Не знам дали е пробив, но прочети това.  

И какъв е проблемът да изпълняваш неща от /sbin ? Примерно интересно ми е някаква теоретична опасна ситуация, свързана с това?

Не се тревожи, правата на root директорията са такива в ubuntu. Или е немарливост или нещо свързано с sudo механизма. В gentoo поне беше забранена за четене извън групата. От това което съм ползвал до сега RedHat и SuSE по подразбиране наистинаправят root директорията частна.