내 시스템은 Novell SLES 11.4 x86-64입니다.
알겠어요:
신뢰할 수 없는 파일의 실행을 방지하지 않는 한 ldd 명령을 비활성화해야 합니다.
위의 내용을 검색하시면 더 많은 정보를 쉽게 얻으실 수 있습니다.
oem설정 권한은 0755 /usr/bin/ldd 입니다 root.root.
또한 "'ldd'를 비활성화하는 데 허용되는 방법은 해당 모드를 0000으로 변경하는 것입니다"라고 명시되어 있습니다.
이렇게 하고 ldd완전히 비활성화하면 시스템이 작동하지 않습니다. 내가 즉시 알아차린 첫 번째 결과는 YAST가 작동하지 않는다는 것이었습니다.
따라서 첫 번째 손상은 chmod 644 /usr/bin/ldd
보존 에 있습니다 root.root. 이로 인해 합법적인 소프트웨어를 실행할 때(라이선스에 많은 비용이 소요됨) 여전히 문제와 오류가 발생할 수 있습니다.
그래서 저는 이 요청이 시대에 뒤떨어지거나 완전히 나쁘다는 결론에 도달했습니다.
아이디어와 제안을 찾고 있습니다. 감사합니다.
답변1
나는 이전에 이런 조언을 들어본 적이 없으며 그것은 완전히 잘못된 것입니다.
Linux에서 ldd이는 일반적으로 다음과 동등한 기능을 최종적으로 실행하는 bash 스크립트입니다.
LD_TRACE_LOADED_OBJECTS=1 /lib64/ld-linux-x86-64.so.2 your_program
따라서 ldd"모든" 프로그램 자체는 실제로 실행되지 않지만 바이너리 로더가 호출되어저것프로그램을 실행해 보세요.
(스크립트의 나머지 부분은 기본적으로 올바른 호출을 계산하는 래퍼입니다 ld.so(예: 32비트, 64비트 등).)
Linux에서 권한을 제거하면 보안상의 이점이 ldd0이 됩니다.
답변2
이는 다음을 가리킨다.CVE-2009-5064,지금 바로SLES에서 수정됨11 SP1부터. 따라서 "신뢰할 수 없는 파일의 실행을 방지합니다" 조항을 준수해야 합니다. 여기에서 취약점 및 개념 증명에 대한 자세한 정보를 확인할 수 있습니다.여기.