[Risolto] Directory non accessibili a root

Fedora Linux Internet, Reti e Sicurezza
#1

Saluti a tutti,
seguendo una discussione mi sono imbattuto in http://forum.fedoraonline.it/viewtopic.php?pid=233280#p233280 (che saluto) ho scoperto di avere una cartella per la quale root non ha i diritti di accesso e un’ altra che non esiste

[root@marte ~]# cd /
[root@marte /]# du -d 1 -h
[cut]
du: impossibile accedere a "./run/user/1000/gvfs": Permesso negato
[cut]
du: impossibile accedere a "./proc/17306/task/17306/fd/3": File o directory non esistente
du: impossibile accedere a "./proc/17306/task/17306/fdinfo/3": File o directory non esistente
du: impossibile accedere a "./proc/17306/fd/4": File o directory non esistente
du: impossibile accedere a "./proc/17306/fdinfo/4": File o directory non esistente
[cut]

andando a controllare

[root@marte /]# cd /run/user/1000/ [root@marte 1000]# ll ls: impossibile accedere a gvfs: Permesso negato totale 0 drwx------. 2 andrea andrea 60 26 ott 08.33 dconf d?????????? ? ? ? ? ? gvfs drwx------. 2 andrea andrea 80 25 ott 10.34 ksocket-andrea drwx------. 2 andrea andrea 80 25 ott 05.40 pulse drwxr-xr-x. 2 andrea andrea 80 25 ott 05.39 systemd
e

[root@marte /]# cd /proc/17306 -bash: cd: /proc/17306: File o directory non esistente devo preoccuparmi o no?

Grazie

#2

Tutto normale.

  • La directory gvfs contenuta in /run/user/1000 è accessibile solo e solamente all’utente che ne detiene l’ownership (persino root è interdetto). È una caratteristica di FUSE: http://unix.stackexchange.com/questions/77453/why-cannot-find-read-run-user-1000-gvfs-even-though-it-is-running-as-root per ulteriori dettagli;

  • /proc è uno pseudo-filesystem in cui il kernel espone un’elevata varietà di dati riguardanti processi e informazioni sullo stato del sistema. Si tratta quindi di un “luogo” assai dinamico; il processo “17306” a cui ti riferisci, probabilmente è terminato in concomitanza con l’esecuzione del comando suggerito da virus. Trovo plausibile quindi, che i relativi file e directory siano stati rimossi mentre “du” lavorava (e la conferma ce l’ha data l’inequivocabile output di “cd /proc/17306”).

#3

Grazie arkanoid, immaginavo che /proc/17306 fosse una dir temporanea ma che ci fosse un’area in cui root non potesse accedere non lo immaginavo proprio.

Avevo lanciato anche un chkrootkit che non ha trovato nulla di strano per cui già mi ero tranquillizzato da un 50% al 90% ora 100%

Tutto a posto metto il [Risolto]