CloudLinux OS Blog - Защита Symlink и cPanel
Блог CloudLinux OS

Защита Symlink и cPanel

Защита Symlink и cPanel

CageFS чрезвычайно эффективен при остановке большинства атак с раскрытием информации, где хакер может читать важные файлы, такие как / etc / passwd.

Тем не менее, CageFS не работает в каждой ситуации. Например, на серверах cPanel он не включен в сервере WebDAV, файловом менеджере cpanel и веб-почте, а также некоторые FTP-серверы не включают в себя правильное укоренение изменений.

Это позволяет злоумышленнику создавать символическую ссылку или жесткую ссылку на чувствительный файл, например / etc / passwd, а затем использовать WebDAV, файловый менеджер или веб-почту для чтения содержимого этого файла.

Начиная с версии ядра CL6 2.6.32-604.16.2.lve1.3.45, вы можете предотвратить такие атаки, не позволяя пользователю создавать символические ссылки и жесткие ссылки на файлы, которые они не имеют.

Это делается путем установки следующих параметров ядра для 1:

fs.protected_symlinks_create = 1

fs.protected_hardlinks_create = 1

Однако мы не рекомендуем использовать параметр protected_symlinks для пользователей cPanel, так как это может нарушить некоторые функции cPanel. Мы рекомендуем установить его в 0:

fs.protected_symlinks_create = 0

Обратите внимание, что это временная мера. Мы не отказываемся от этой защиты полностью, но работаем над новой функцией защиты символов, которая будет работать как черный список, который должен быть позже в Q2 или в начале Q3.

Чтобы вручную отредактировать настройки, выполните следующие действия:

/etc/sysctl.conf

Изменить строку: на:

fs.protected_symlinks_create = 0

и выполнить:

$ sysctl -p
Beta: обновление ядра ​​CloudLinux 7
Бета: обновлено mod_hostinglimits

Комментарии 7

Какая функция cPanel может нарушить защиту символьной ссылки?

Я долгое время это поддерживал и только обнаружил, что передача cPanel является проблематичной, но отключает ее перед началом работы и повторное включение после трюка.

Есть ли другие проблемы, о которых нужно знать?

Какая функция cPanel может нарушить защиту символьной ссылки? Я долгое время это поддерживал и только обнаружил, что передача cPanel является проблематичной, но отключает ее перед началом работы и повторное включение после трюка. Есть ли другие проблемы, о которых нужно знать?

Привет, Райан,

Это повлияло на функциональность lsapi (в основном, на всех PHP-сайтах, где был включен lsapi) и передачи учетных записей.

Если вы не сталкивались с проблемами ранее, вы можете оставить его включенным.

Привет, Райан, Это повлияло на функциональность lsapi (в основном, на всех PHP-сайтах, где был включен lsapi) и переводы учетных записей. Если вы не сталкивались с проблемами ранее, вы можете оставить его включенным.

Какие проблемы возникают с lsapi? Мы либо используем LiteSpeed, либо Apache + mod_lsapi на наших серверах и сталкиваемся с проблемами при передаче учетных записей. Просто хочу убедиться, что нет проблем, с которыми мы сталкиваемся.

Какие проблемы возникают с lsapi? Мы либо используем LiteSpeed, либо Apache + mod_lsapi на наших серверах и сталкиваемся с проблемами при передаче учетных записей. Просто хочу убедиться, что нет проблем, с которыми мы сталкиваемся.

Пожалуйста, направьте ваш вопрос в нашу службу поддержки по ссылке https://www.cloudlinux.com/support чтобы получить более подробный ответ.

Отправьте свой вопрос в нашу службу поддержки по ссылке https://www.cloudlinux.com/support, чтобы получить более подробный ответ.
Богдан в среду, 26, апрель, 2017, 17: 44.

На самом деле, проблемы с lsapi были отмечены только в CloudLinux 7 и когда / proc / sys / fs / global_root_enable были установлены в 1. По умолчанию это 0 и не должно вызывать никаких проблем.

На самом деле, проблемы с lsapi были отмечены только в CloudLinux 7 и когда / proc / sys / fs / global_root_enable были установлены в 1. По умолчанию это 0 и не должно вызывать никаких проблем.

У нас также были эти настройки на всех серверах в течение длительного времени:
fs.protected_symlinks_create = 1
fs.protected_hardlinks_create = 1

У нас не было никаких проблем с передачей lsphp / account или чем-либо еще на наших серверах 60 +.

Я не совсем уверен, что вы на самом деле подразумеваете под этим посту?

У нас также были эти настройки на всех серверах в течение длительного времени: fs.protected_symlinks_create = 1 fs.protected_hardlinks_create = 1 У нас не было никаких проблем с передачей lsphp / account или что-либо еще на наших серверах 60 +. Я не совсем уверен, что вы на самом деле подразумеваете под этим посту?

Пожалуйста, направьте ваш вопрос в нашу службу поддержки по ссылке https://www.cloudlinux.com/support чтобы получить более подробный ответ.

Отправьте свой вопрос в нашу службу поддержки по ссылке https://www.cloudlinux.com/support, чтобы получить более подробный ответ.
Уже зарегистрирован? ВОЙТИ
гость
Понедельник, 18 ноября 2019

Защитный код изображение