Ubuntu 防范本地权限提升的实用清单
一 基线防护与系统更新
sudo apt update && sudo apt full-upgrade -y && sudo reboot。visudo 实施精细化授权(仅允许必要命令)。sudo ufw allow ssh && sudo ufw allow http && sudo ufw allow https && sudo ufw enable。二 重点漏洞与缓解措施
| 漏洞 | 影响要点 | 立即处置 |
|---|---|---|
| CVE-2025-6018(PAM/Polkit) | 远程 SSH 会话被误判为本地控制台会话,绕过策略执行本应受限的操作 | 升级系统与安全组件;审查 /usr/share/polkit-1/actions/*.policy,将 allow_active 调整为 auth_admin;审计 PAM 配置,移除可疑的 user_readenv 等条目 |
| CVE-2025-6019(UDisks2/libblockdev) | 经认证的本地用户可通过构造存储操作(如挂载)提升至 root | 升级 udisks2 与 libblockdev 至安全版本;限制对块设备的非必要访问;监控异常挂载与临时挂载行为 |
| CVE-2025-32462/CVE-2025-32463(sudo) | 本地提权:CVE-2025-32462 与 -h/–host 选项相关;CVE-2025-32463 与 –chroot/-R 加载恶意 nsswitch.conf 相关 | 升级 sudo ≥ 1.9.17p1;临时处置:禁用 sudoedit(Defaults !sudoedit)、限制环境变量继承(Defaults env_reset、Defaults env_delete += "EDITOR SUDO_EDIT")、移除基于主机名的规则、限制或禁用 chroot 权限,并确保 /etc/nsswitch.conf 不可被非 root 写入 |
| CVE-2022-0847(Dirty Pipe) | 内核管道机制缺陷导致本地提权 | 升级内核至包含修复的版本(≥ 5.16.11/5.15.25/5.10.102);无法立即升级时,最小化本地交互与特权服务暴露面 |
三 本地提权常见入口的排查与加固
find / -perm -4000 -o -perm -2000 2>/dev/null | grep -Ev '/snap|/proc',仅保留明确必需的程序,定期复核。systemd 服务替代含复杂逻辑的 cron。visudo 实施白名单与命令白名单,避免授予 NOPASSWD 除非业务必需;定期审计 /var/log/auth.log。/etc/shadow、/etc/sudoers、/etc/nsswitch.conf)的权限与完整性;对关键目录设置最小权限与完整性校验(如 AIDE)。四 持续监测与验证
sudo aideinit && sudo aidecheck),对关键系统文件变更进行告警。setuid/setgid、敏感文件访问);结合 OSSEC/Wazuh 对 /etc/shadow 等敏感文件的访问进行审计。