Điều ngay lập tức xuất hiện trong đầu là một người dùng kém may mắn có thể chạy mọi thứ khi khởi động với quyền root , điều mà người dùng mong muốn là:
- Muốn leo thang đặc quyền của các tài khoản khác
- Muốn sử dụng máy chủ của bạn để lưu trữ một dịch vụ giả mạo
- Muốn khởi động IRC / Spam bot nếu máy chủ khởi động lại
- Muốn ping một con tàu mẹ để nói "Tôi lại lên" và có thể tải xuống một tải trọng mới
- Muốn dọn dẹp dấu vết của họ
- ... xấu khác.
Điều này có thể xảy ra nếu người dùng kém may mắn của bạn bằng cách nào đó bị xâm phạm, có thể thông qua một dịch vụ khác (http / etc). Hầu hết những kẻ tấn công sẽ nhanh chóng chạy một ls
hoặc find
trên / tất cả mọi thứ /etc
chỉ để xem liệu những khả năng đó có tồn tại hay không, có những vỏ được viết bằng nhiều ngôn ngữ khác nhau mà chúng sử dụng khiến việc này trở nên đơn giản.
Nếu bạn quản lý máy chủ từ xa, chủ yếu thông qua SSH, rất có thể bạn sẽ không thấy điều này trừ khi bạn kiểm tra tập lệnh init, vì bạn sẽ không thấy đầu ra khi khởi động (mặc dù vậy, bạn nên sử dụng thứ gì đó kiểm tra băm của các tập lệnh đó với các giá trị băm đã biết để xem có gì thay đổi hay phần mềm kiểm soát phiên bản, v.v.)
Bạn chắc chắn không muốn điều đó xảy ra, root thực sự cần sở hữu tập lệnh init đó. Bạn có thể thêm người dùng phát triển vào danh sách các sudoers để đủ tiện lợi để cập nhật tập lệnh, nhưng tôi khuyên không nên cho phép truy cập ghi kém vào bất cứ điều gì trong init.d