Cos'è#
Si definiscono "orfani" i file che possiedono un UID (User ID) o un GID (Group ID) che non corrispondono più a nessun utente o gruppo esistente nel sistema.
Perché accade#
Quando un amministratore cancella un gruppo con sudo delgroup nomegruppo, il sistema rimuove il nome dal database /etc/group, ma non modifica i metadati dei file sul disco. I file che appartenevano a quel gruppo mantengono il vecchio ID numerico (GID).
Rischi di Sicurezza#
- Collisione di ID: Se in futuro viene creato un nuovo gruppo e il sistema gli assegna lo stesso GID del gruppo eliminato, il nuovo gruppo erediterà automaticamente i permessi di tutti i file orfani.
- Access Control Broken: Gli strumenti di auditing potrebbero non segnalare correttamente chi ha accesso a risorse critiche se queste sono associate solo a ID numerici non mappati.
Come individuarli#
# Trova tutti i file senza un gruppo associato
sudo find / -nogroup 2>/dev/null
# Trova tutti i file senza un utente (owner) associato
sudo find / -nouser 2>/dev/nullRemediation (Bonifica)#
Una volta individuati, i file devono essere riassegnati a un'entità valida:
# Esempio: riassegnazione al gruppo 'admin'
sudo find / -nogroup -exec chgrp admin {} \;Scenario Reale#
Durante una migrazione di server, un utente viene eliminato ma la sua cartella dei backup rimane sul disco con UID 1005. Un nuovo dipendente viene assunto e riceve l'UID 1005. Senza saperlo, il nuovo arrivato ha ora accesso completo ai vecchi backup riservati.
Collegato a#
- iam — categoria principale
- system — gestione sistema
- principio-del-minimo-privilegio — per la pulizia dei permessi
- find — lo strumento di ricerca
