CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту symlink и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 108

Спасибо,
Но это не работает для меня.

..
Выполнение транзакции
Установка: kernelcare-2.13-1.x86_64 1 / 1
Запрос пробной лицензии для 89.xxx, пожалуйста, подождите ...
Ошибка HTTP 403: Запрещено, Повторная попытка в 3 секундах ...
Запрос пробной лицензии для 89.xxx, пожалуйста, подождите ...
Ошибка HTTP 403: Запрещено, Повторная попытка в 6 секундах ...
Проверка: kernelcare-2.13-1.x86_64 1 / 1

Установлен:
kernelcare.x86_64 0:2.13-1

Complete!
[[Электронная почта защищена] src] # kcarectll --set-patch-type бесплатно
-bash: kcarectll: команда не найдена

Спасибо, но это не работает для меня. .. Запуск транзакции Установка: kernelcare-2.13-1.x86_64 1 / 1 Запрос пробной лицензии для 89.xxx, подождите ... [b] Ошибка HTTP 403: Запрещено [/ b], Повторная попытка в 3 секундах ... Запрос пробная лицензия для 89.xxx, подождите ... [b] Ошибка HTTP 403: Запрещено [/ b], Повторная попытка в 6 секундах ... Проверка: kernelcare-2.13-1.x86_64 1 / 1 Установлен: kernelcare.x86_64 0 : 2.13-1 Завершить! [[Электронная почта защищена] src] # kcarectll --set-patch-type free [b] -bash: kcarectll: команда не найдена [/ b]

извините, это должно было быть:
kcarectl --set-patch-type free

извините, это должно было быть: kcarectl --set-patch-type free

Спасибо за эту поддержку.

Могут ли патчи отключены в обновлениях ядра, которые мы сделали вручную?

Спасибо за эту поддержку. Могут ли патчи отключены в обновлениях ядра, которые мы сделали вручную?

Извините, я не знаю, что вы имеете в виду.

Извините, я не знаю, что вы имеете в виду.

Должны ли мы установить это в CloudLinux? Когда я попытался установить это,

Тип 'free' для текущего ядра недоступен

Должны ли мы установить это в CloudLinux? Когда я попытался установить его, он говорит, что «свободный» тип патча недоступен для текущего ядра

Ядро CloudLinux построено из коробки / не требуется на серверах CloudLinux.

Ядро CloudLinux построено из коробки / не требуется на серверах CloudLinux.
Гость - Ник в пятницу 06 октябрь 2017 14: 23

Если мы используем CloudLinux OS, это уже включено? или мы должны включить его как CentOS?

Если мы используем CloudLinux OS, это уже включено? или мы должны включить его как CentOS?

Ядро CloudLinux построено из коробки / не требуется на серверах CloudLinux.

Ядро CloudLinux построено из коробки / не требуется на серверах CloudLinux.
Гость - Ник в пятницу 06 октябрь 2017 14: 38

Что-то не работает должным образом (используя последнюю cpanel на CentOS 7)

[[Электронная почта защищена] ~] # nano /etc/sysconfig/kcare/sysctl.conf (файл не существует)
[[Электронная почта защищена] ~] # sysctl -w fs.enforce_symlinksifowner = 1
sysctl: невозможно stat / proc / sys / fs / enforce_symlinksifowner: нет такого файла или каталога

Кроме того, у меня не было никакой месги в соответствии с вашим «Во время установки вы должны увидеть нечто похожее на"

Что-то не работает должным образом (используя последнюю cpanel на CentOS 7) [[Электронная почта защищена] ~] # nano /etc/sysconfig/kcare/sysctl.conf (файл не существует) [[Электронная почта защищена] ~] # sysctl -w fs.enforce_symlinksifowner = 1 sysctl: не может stat / proc / sys / fs / enforce_symlinksifowner: Нет такого файла или каталога. Кроме того, я не получил никаких сообщений в соответствии с вашим «Во время установки вы должны увидеть что-то похожий на"

пожалуйста, обеспечьте вывод: kcarectl --info

Uname-р

пожалуйста, обеспечьте вывод: kcarectl --info и uname -r
Уже зарегистрирован? ВОЙТИ
гость
Среда, 18 сентября 2019

Защитный код изображение