Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYuU0Net' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349

Nix sistemerde kullanılan SUID ve SGID özelliği, bir kullanıcının, bir programı kendisine tanınmış haklardan daha fazla izne sahip olarak çalıştırması gerektiği durumlarda kullanılmaktadır. Suid ve sgid oldukça kullanışlı birer dosya yetki özelliği olmasına rağmen güvenlik açısından dikkat edilmesi gereken bir husustur. Zira, suid biti aktif edilmiş dosyalar suistimal edilerek ve zafiyete neden olabilirler.

İşte bu nedenle, sistemdeki SUID ve SGID dosyaların taranması ve listelenmesi rutin bir güvenlik önlemi konuyla ilgili biraz detay vermek istedim. Yazının devamında SUID/SGID bit'lerinin ne olduğu ve sistemde bu bitlere sahip dosyaların nasıl saptanabileceği ile ilgili bilgiler bulabilirsiniz.

SUID/SGID Biti Nedir ?

SUID ve SGID konusunun daha iyi anlaşılması açısından örneklemek gerekirse, kullanıcı şifremizi değiştirmek için kullandığımız “passwd” aracını ele alabiliriz. Bildiğiniz gibi passwd komutunu kullanarak, kendi kullanıcımıza ait şifreyi -root olmamıza gerek kalmaksızın- değiştirebiliyoruz. Ancak sıradan bir kullanıcı olarak şifremizi değiştirdiğimiz zaman, -sadece root kullanıcısının erişme yetkisi olduğu- /etc/shadow dosyasının içeriğinde değişiklik yapılmış oluyor. İşte, erişimimizin olmadığı bir dosyada değişiklik yapabiliyor olmamızın nedeni, /usr/bin/passwd binary dosyasında “suid” bitinin etkinleştirilmiş olmasıdır. Yani örnek olarak “aliveli” kullanıcısı ile sisteme bağlı olan birisi passwd binarysini çalıştırdığı zaman, passwd aracını o binary'nin sahibinin yetkileri ile çalıştırmış olur; binary'nin sahibi de root olduğundan dolayı sadece root kullanıcısının erişme izni olduğu /etc/shadow dosyasında değişiklik yapabilir.

Dolayısı ile SUID biti, herhangi bir programın herhangi bir kullanıcı tarafından bile, program sahibinin haklarıyla çalıştırılabilmesine olanak sağlamaktadır. SUID biti etkinleştirilmiş olan passwd aracının izinlerini kontrol ettiğimiz zaman çalıştırılabilir (x) bitin yerine gelen SUID (s) bitini görebiliriz.

# ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 22984 Jan  6  2007 /usr/bin/passwd

İzin diziminde geçen bu (s) ibaresi suid bitinin aktif olduğunu, passwd'yi kim çalıştırırsa çalıştırsın programın root yetkisi ile çalıştırılacağını belirtir.

Aynı şekilde SGID de, herhangi bir programın, grup hakları ile çalıştırılabileceğini söyler. Örnek olarak /usr/bin/wall binary dosyası için SGID aktif edilmiştir.

# ls -l /usr/bin/wall
-r-xr-sr-x 1 root tty 10484 Jan 21  2009 /usr/bin/wall

SUID/SGID biti aktif dosyaların bulunması

---

Sonuç olarak SUID ve SGID konusu kullanışlı bir durum olmasına rağmen güvenlik açısından dikkat de edilmesi gereken bir konudur. Zira, suid biti aktif edilmiş herhangi bir programda bulunan bir bug sistemde root yetkileri ile komut çalıştırılması gibi durumlara olanak verebilir ya da bir saldırgan sisteminizde suid biti aktif edilmiş bir dosya üzerinden root yetkisi elde etmeye çalışabilir. Bu açıdan, sisteminizde SUID/SGID bitleri aktif edilmiş dosyaları gözlem altında tutmak rutin bir güvenlik önlemidir.

Bu rutin işlem için find komutundan yararlanılabilir. Aşağıdaki komut ile SUID ya da SGID (ya da ikisi birden) bitleri etkinleştirilmiş dosyaları saptanabilir.

find / \( -perm -u+s -or -perm -g+s  \) -type f -exec ls -l {} \;

Örnek bir çıktı şu şekildedir:

-rwsr-xr-x 1 root root 22984 Jan  6  2007 /usr/bin/passwd
-rwsr-xr-x 1 root root 46972 Mar  3  2009 /usr/bin/chage
-rwsr-sr-x 1 root root 315416 Jan  6 02:59 /usr/bin/crontab
rwxr-sr-x 1 root mail 16020 Mar 29  2007 /usr/bin/lockfile
-rwxr-sr-x 1 root tty 10984 Jan 20 12:43 /usr/bin/write
-rwx--s--x 1 root slocate 23856 Sep  3  2009 /usr/bin/locate

Yukarıdaki çıktıda görüldüğü gibi SUID ya da SGID biti atkif edilmiş dosyaların bir dökümü bulunuyor. Bu dosyaları düzenli olarak incelemek, listeye yeni dosyalar eklenip eklenmediğini kontrol etmek  akıllıca olacaktır. Normalde FreeBSD sistemlerde setuid,setgid dosyalar periodic olarak taranır ve sistem yöneticisine mail olarak raporlanır. Ancak linux sistemlerde bu işlem öntanımlı olarak yapılmamaktadır. Bu yüzden arama işlemini yapıp, email ile raporlama yapacak küçük bir script yazmak ve periyodik olarak çalıştırılmak üzere cron'a eklemek iyi olacaktır.

Örneğin aşağıdaki script iş görecektir. Kendinize göre düzenleyip kullanabilirsiniz.

Mesela her gece saat 03:00'da çalışması için de cron'a şu şekilde eklenebilir:

00 03 * * * /bin/sh /yol/findsuid.sh

Böylece, suid/sgid dosyaları sürekli gözlem altında tutabilirsiniz.