sudo, SUID et capabilities
Énumération des droits sudo, SUID, capabilities, services, cron, conteneurs et permissions de fichiers.
sudo
sudo -l indique les commandes autorisées, l’utilisateur cible, les options et les contraintes. Analyse les jokers, scripts modifiables, variables d’environnement et éditeurs.
SUID/SGID
Pour chaque binaire : propriétaire, hash, package, version, arguments contrôlables et fichiers chargés. Compare avec le système de référence.
stat /usr/local/bin/example
sha256sum /usr/local/bin/example
dpkg -S /usr/local/bin/example 2>/dev/null
Capabilities
getcap -r / 2>/dev/null
Des capabilities telles que cap_setuid, cap_dac_read_search ou cap_sys_admin peuvent augmenter fortement le risque. Elles doivent être justifiées et limitées.
Validation
N’exécute pas un “one-liner” d’escalade trouvé sur Internet sur un serveur réel. Reproduis la configuration dans le lab et démontre l’impact avec un fichier canari.
Les mauvaises permissions sont souvent plus importantes que la version du noyau. Commence par sudo, services, scripts et répertoires écrits avant de chercher un exploit kernel.