0056-rc.local-priv-rc.local权限被修改¶

规则ID¶

• 0056-rc.local-priv

类别¶

• system

级别¶

• warn

兼容版本¶

• Linux

说明¶

• 监控主机文件/etc/rc.local权限是否被修改

扫描频率¶

• 1 */5 * * *

理论基础¶

• rc.local脚本是一个Linux系统开机后会自动执行的脚本，可以在该脚本内添加需要开机启动的命令行指令。

风险项¶

• 功能不可用

审计方法¶

• 运行以下命令，并验证Uid和Gid均为0/ root，权限为755：

stat /etc/rc.d/rc.local
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)

补救¶

• 如果检测到/etc/rc.local文件权限已被变更，可通过root用户登录该服务器后将该权限进行修复，并审计本次变更。

影响¶

• 无

默认值¶

• 无

参考文献¶

• 黑客入侵应急排查思路&&流程（非官方）

• 记录一次真实的挖矿 入侵排查分析（非官方）

CIS 控制¶

• 无