Наша система заблокировала попытку взлома, исходящую от локального процесса, запущенного под системным пользователем apache .
Process not allowed.
{
"USER": "apache 16",
"PID": "617",
"%CPU": "0.0",
"%MEM": "0.0 80",
"VSZ": "556 3",
"RSS": "904",
"TTY": "?",
"STAT": "S",
"TIME": "0:00",
"COMMAND": "curl -v -u -d yyyy http://127.0.0.1:xxxx/"
}
Как пользователь apache мог запустить curl?
Из файла / etc / файл passwd:
apache:x:48:48:Apache:/var/www:/sbin/nologin
Разве этот блокировщик apache не должен запускать какие-либо команды?
Мы работаем с CentOS версии 6.7 (Final) с принудительным использованием SELinux.
Нет, это просто означает, что пользователь не может войти в систему и запустить оболочку, однако он может выполнять команды.
Просто попробуйте следующее, как root:
mkdir test
chown apache:apache test
sudo -u apache touch test/file
И теперь пользователь apache
использовал команду touch
.
Сама идея системного пользователя заключается в том, чтобы выполнять команды / запускать программы / демоны и т. Д. С их конкретным идентификатором и следующими за ним разрешениями.