Dentro del sistema operativo Linux existen una enorme cantidad de procesos y procedimientos que tienen como principal objetivo facilitar las tareas de los usuarios. Uno de estos es el procedimiento conocido como Bit SUID/SGID, el cual está relacionado directamente con el cambio de privilegios a un usuario del sistema. Es una herramienta que puede utilizarse tanto para mejorar el rendimiento de una red Linux, como para violentar los sistemas de seguridad de estas.
Definición
Un Bit SUID/SGID es un procedimiento en el cual se le otorga al usuario privilegios de root o administrador, para realizar una tarea específica dentro del sistema, como cambiar un password o cambiar los permisos de un archivo.
Esto quiere decir que en una vez activo, el usuario tendrá los privilegios de root en el proceso que esté ejecutando. Si todo funciona de manera correcta no generará ningún problema y puede ser utilizado para solventar algunos problemas del sistema, sin necesidad de tener que recurrir al administrador o abrir la cuenta root.
Peligros del bit SUID/SGID
Como es un procedimiento que otorga privilegios de administrador a cualquier usuario del sistema, es ampliamente utilizado para ejecutar procesos a los cuales no se está autorizado, sobre todo si se trata de un atacante externo, el cual buscará por todos los medios dejar un pequeño programa shell, con el bit SUID indicado, para mantener esos privilegios cuando vuelva a ingresar al sistema.
Como ubicar bit SUID en nuestro sistema
Como ya vimos los programas que contienen bit SUID, pueden ser sumamente peligrosos en manos de un atacante, es por esta razón, que es indispensable buscar qué programas están activos con este procedimiento en nuestros sistemas. Para hacerlo, sólo debemos ejecutar el siguiente comando en la consola de Linux:
root# find / -type f ( -perm -04000 -o -perm -02000 ) -print
Al ejecutar esta orden, podremos ubicar los programas que tienen activo el bit SUID.
Por ser un procedimiento tan delicado, es recomendable que los administradores de sistemas eviten dejar Shell SUID ejecutándose en el sistema sin supervisión. En el caso de tener que ausentarse del equipo, se recomienda utilizar un xlock.
