Запретить группе запуск исполняемых файлов на CentOS

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

Аватара пользователя
VaDen
Сообщения: 2
ОС: CentOS

Запретить группе запуск исполняемых файлов на CentOS

Сообщение VaDen » 11.09.2019 14:09

Всем привет.

Есть выделенный сервер на CentOS, много пользователей, много сайтов.

Пару дней назад в процессах появился файл запущенный от одного из пользователей. (как оказался зловред который куда то лезет в сеть)

Находился в рамдомной папке на веб сервере этого пользователя, удалил, почти сразу появился в другой, так же на исполнение и запущен.

Всё просканировал, почистил, обновил веб, всё равно появляется в рандомной папке и запускается.

Сам шел пока не нашел, ну очень большой сайт, 350 гигов, десятки тысяч каталогов.

так вот, в чем вопрос, можно ли на уровне системы в принципе запретить запускать исполняющие файлы пользователям допустим группы "web"

С Уважением,
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15835
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Запретить группе запуск исполняемых файлов на CentOS

Сообщение Bizdelnick » 11.09.2019 14:23

А какой прок от пользователя, который вообще ничего не сможет запустить?
Ищите дыру. Если она в какой-нибудь CMS, надо просто запретить веб-серверу запись куда бы то ни было, кроме каталога(ов) для загружаемых файлов. Если CentOS, имеет смысл включить SELinux (он ведь выключен наверняка, да?), выставив правильные контексты на файлы.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
VaDen
Сообщения: 2
ОС: CentOS

Re: Запретить группе запуск исполняемых файлов на CentOS

Сообщение VaDen » 11.09.2019 14:36

пользователь не работает в консоли, только веб.
ему ничего не нужно запускать.
за него всё запускает NGINX.
дыра, да в CMS, но все обновления и патчи проблему не решили, скорее всего шел где то глубоко в файлах.
как раз шел и пишет эти файлы по всем каталогам.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 15835
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Запретить группе запуск исполняемых файлов на CentOS

Сообщение Bizdelnick » 11.09.2019 14:59

VaDen писал(а):
11.09.2019 14:36
пользователь не работает в консоли, только веб.
ему ничего не нужно запускать.
за него всё запускает NGINX.
Какая разница? Запускает же. От его имени. Это то же самое.
Ну поставьте пользователю в качесве логин-шелла /bin/false, только это, скорее всего, не поможет.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали: