Verificar falhas de segurança no sistema de arquivos é outra tarefa importante do administrador. Primeiramente devem ser identificados os arquivos que podem ser alterados por usuários não autorizados, arquivos que podem involuntariamente dar permissões excessivas a usuários e arquivos que possam fornecer acesso a invasores. É importante também monitorar modificações no sistema de arquivos e possuir mecanismos que permitam a volta do sistema ao estado original.

O comando find é um comando de propósito geral para pesquisar o sistema de arquivos. O comando:

# find / -type f -a \( -perm 0400 -o -perm 0200 \) -print

Localiza todos os arquivos do sistema com os bits setuid ou setgid ligados.

A saída deste comando deve ser analisada para determinar se não existe algum arquivo suspeito na lista.

O comando:

# find / -perm -2 -print

Identifica todos os arquivos com permissão de escrita universal.

O comando:

# find / -nouser -o nogroup -print

Identifica arquivos que não pertencem a nenhum usuário ou a nenhum grupo.

Imediatamente após a instalação de um sistema, deve-se gerar um arquivo que liste a configuração inicial dos arquivos do sistema:

# ls -aslgR /bin /etc /usr >> MasterChecklist

Este arquivo contém uma lista completa de todos os arquivos nestes diretórios. As linhas referentes a arquivos que mudem frequentemente devem ser removidas do arquivo. O masterchecklist deve ser guardado em um local seguro para evitar adulterações. Para pesquisar alterações no sistema de arquivos, execute o comando acima novamente e compare-o com o arquivo mestre:

# diff MasterChecklist Currentlist

Outro aspecto muito importante é a realização de backups frequentes do sistema de arquivos. Backups não apenas protegem contra falhas de hardware, mas também contra deleções acidentais.

Originalmente publicado por mim em: http://www.dicas-l.com.br/dicas-l/19970508.php