Что это
SUID-бит позволяет бинарю выполняться с правами владельца (часто root) независимо от пользователя.
Почему это опасно
- Любая уязвимость в SUID-бинаре = полный root-доступ
- Частая цель при post-exploitation
Что делать
Найти все SUID-файлы
find / -perm -4000 -type f 2>/dev/nullОценить каждый бинарь
- Нужен ли он реально?
- Можно ли заменить на: sudo, capabilities или сервис под отдельным пользователем?
Удалить SUID
chmod u-s /path/to/binaryПрактика hardening
- Минимизировать SUID до белого списка
- Особенно опасные: интерпретаторы (
python,perl), редакторы (vim,nano), сетевые утилиты