Question

Я должен перечислить все наборы suid на моем сервере с помощью osquery, я предполагаю, что suid_bin должен дать мне весь набор suid, но, похоже, он пропускает некоторые из них. Я использую это так:

Select * from suid_bin

Но если я, например, проверим / usr вручную, у меня будут некоторые, которых нет в моих предыдущих результатах. Для ручной проверки указанной папки c я использую следующий запрос:

SELECT * FROM file WHERE path LIKE "/usr/%%" and mode like "4755";

Не могли бы вы сказать мне, что я делаю здесь неправильно? Сейчас я учусь на osquery, поэтому мне не нравится запрос на него ...

seph · Answer 1 · 10 марта 2020

Это документированное поведение.

Просмотр всей файловой системы - дорогостоящая операция. Итак, как описано в схеме , таблица suid_bin ищет suid-двоичные файлы в общих местах , а не исчерпывающе. Если вы хотите увидеть список мест, которые он ищет, он находится в исходном коде

Как вы обнаружили, таблица file позволит вам рекурсивно искать файловую систему.

Использование osquery suid_bin для отображения всех установленных битов suid системы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Использование osquery suid_bin для отображения всех установленных битов suid системы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы