Frage 102-151

Es ist wichtig, dass Ihnen als Administrator bekannt ist, wie Sie SUID-Bits bei Dateien finden können. Angreifer versuchen oft, sich »Hintertüren« zu einem System zu verschaffen, indem sie an unerwarteten Stellen SUID-Programme deponieren.

Das Programm find kennt dazu die Option -perm. Als Argumente können perm die Rechte im numerischen oder im symbolischen Modus übergeben werden. Dabei ist das SUID-Bit numerisch mit 4000 kodiert, symbolisch mit u+s.

find -perm u+s (Antwort 3) findet Dateien, die nur dieses Bit gesetzt haben und sonst keines. Da interessante SUID-Dateien zumindest noch ein x-Bit für die Gruppe oder den »Rest der Welt« gesetzt haben müssen, ist dies keine sinnvolle Antwort.

Bei find -perm können vor einer Rechteangabe die Zeichen - oder / stehen. Ersteres verlangt, dass bei Dateien alle von der Rechteangabe beschriebenen Rechte vorliegen, letzteres begnügt sich mit mindestens einem dieser Rechte; Rechte, die die Rechteangabe nicht enthält, werden ignoriert. Wenn die Rechteangabe wie in der Frage nur ein Bit enthält, funktionieren -perm -u+s (Antwort 1) und -perm /u+s (Antwort 2) gleich -- beide passen auf Dateien mit gesetztem SUID-Bit und sind darum richtig im Sinne der Fragestellung.

Ebenso erfolgreich ist -perm -4000, das das SUID-Bit numerisch beschreibt (Antwort 5). -perm /4000 wäre auch richtig, stand aber nicht zur Auswahl.

Antwort 4 würde theoretisch funktionieren, scheitert aber an zwei Problemen. Zum einen gibt es »falsche Positive« bei Dateien, deren Dateiname die Zeichenkette rws enthält, da grep diese Zeilen durchläßt, egal welche Rechte die Datei hat. Zum anderen macht rws keinen Unterschied zwischen einem gesetzten SUID- und einem SGID-Bit; es könnte also durchaus sein, dass Sie so Programme finden, die SGID sind, aber nicht SUID.