CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту symlink и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

Гость - Ник в пятницу 06 октябрь 2017 14: 50

[[Электронная почта защищена] ~] # kcarectl --info
Доступно обновление, запустите «kcarectl --update».
kpatch-state: применяется патч
kpatch-for: версия Linux 3.10.0-693.2.2.el7.x86_64 ([Электронная почта защищена]) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)) #1 SMP Tue Sep 12 22: 26: 13 UTC 2017
kpatch-build-time: Fri Sep 15 08: 40: 24 2017
kpatch-description: 3-; 3.10.0-693.2.2.el7

[[Электронная почта защищена] ~] # uname -r
3.10.0-693.2.2.el7.x86_64

[[Электронная почта защищена] ~] # kcarectl --info Доступно обновление, запустите 'kcarectl --update'. kpatch-state: patch применяется kpatch-for: версия Linux 3.10.0-693.2.2.el7.x86_64 ([Электронная почта защищена]) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)) #1 SMP Tue Sep 12 22: 26: 13 UTC 2017 kpatch-build-time: Fri Sep 15 08: 40: 24 2017 kpatch-description: 3 -; 3.10.0-693.2.2.el7 [[Электронная почта защищена] ~]# uname -r 3.10.0-693.2.2.el7.x86_64

вы используете patchset по умолчанию, вероятно, из-за пробной лицензии.

Убедитесь, что вы переключаетесь на свободный набор патчей, запустив:
kcarectl --set-patch-type free

Или вы можете сделать дополнительно (включая исправления безопасности ядра):
kcarectl --set-patch-type extra
Тем не менее, это закончится, поскольку пробный период истекает.

вы используете patchset по умолчанию, вероятно, из-за пробной лицензии. Убедитесь, что вы переключились на бесплатный набор патчей, запустив: kcarectl --set-patch-type free Или вы можете сделать дополнительно (включая исправления безопасности ядра): kcarectl --set-patch-type extra Все же, срок действия истекает, когда пробная версия заканчивается.
Гость - Ник в пятницу 06 октябрь 2017 15: 58

[[Электронная почта защищена] ~] # kcarectl --set-patch-type free
выбран «свободный» тип патча

[[Электронная почта защищена] ~] # kcarectl --info
kpatch-state: применяется патч
kpatch-for: версия Linux 3.10.0-693.2.2.el7.x86_64 ([Электронная почта защищена] .org) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)) #1 SMP Tue Sep 12 2 2: 26: 13 UTC 2017
kpatch-build-time: Fri Sep 15 09: 06: 46 2017
kpatch-description: 3-free; 3.10.0-693.2.2.el7

[[Электронная почта защищена] ~] # uname -r
3.10.0-693.2.2.el7.x86_64

[[Электронная почта защищена] ~] # kcarectl -set-patch-type бесплатный «свободный» тип патча выбран [[Электронная почта защищена] ~] # kcarectl --info kpatch-state: применяется патч kpatch-for: версия Linux 3.10.0-693.2.2.el7.x86_64 ([Электронная почта защищена] .org) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)) #1 SMP Tue Sep 12 2 2: 26: 13 UTC 2017 kpatch-build-time: Пт Сен 15 09: 06: 46 2017 kpatch- описание: 3-free; 3.10.0-693.2.2.el7 [[Электронная почта защищена] ~]# uname -r 3.10.0-693.2.2.el7.x86_64

Игорь, я выполнил ваши инструкции, но в советнике по безопасности cPanel (v66.0.24) я получаю следующее предупреждение:

Для CentOS 6 защита символьной ссылки ядра не включена. По-видимому, у вас нет защиты символической ссылки через правильно исправленное ядро ​​на этом сервере, что обеспечивает дополнительную защиту помимо тех решений, которые используются в пользовательской области. Прочтите следующую документацию, чтобы узнать, как применять эту защиту.
, Как я могу решить эту проблему?

Выход kcarectl -info
Неизвестное ядро ​​(CentOS 2.6.32-696.13.2.el6.x86_64), нет доступных патчей

Выход uname -r
2.6.32-696.13.2.el6.x86_64

Игорь, я выполнил ваши инструкции, но в советнике по безопасности cPanel (v66.0.24) я получаю следующее предупреждение - [quote] Защита символьной ссылки ядра не включена для CentOS 6. По-видимому, у вас нет защиты символической ссылки через правильно исправленное ядро ​​на этом сервере, что обеспечивает дополнительную защиту помимо тех решений, которые используются в пользовательской области. Ознакомьтесь с следующей документацией, чтобы узнать, как применять эту защиту. [/ Quote]. Как я могу решить эту проблему? [b] Выход kcarectl --info [/ b] Неизвестное ядро ​​(CentOS 2.6.32-696.13.2.el6.x86_64), нет доступных патчей [b] Вывод uname -r [/ b] 2.6.32-696.13.2.el6.x86_64
Ирина Семенова во вторник, 10, октябрь, 2017, 12: 58.

Здравствуйте! Приносим извинения за неудобства!
Мы добавили обновление для CentOS 2.6.32-696.13.2.el6.x86_64, чтобы вы могли проверить патч сейчас

Здравствуйте! Приносим извинения за неудобства! Мы добавили обновление для CentOS 2.6.32-696.13.2.el6.x86_64, чтобы вы могли проверить патч сейчас


Здравствуйте

Будет ли патч поврежден, если я обновляю ядро?

[b] Привет, патч будет поврежден, если я обновляю ядро? [/ b]
Ирина Семенова во вторник, 10, октябрь, 2017, 12: 45.

Hi
Патч не будет поврежден.

Привет, ваш патч не будет поврежден.
Гость - Lord55 в пятницу 06 октябрь 2017 19: 26

[[Электронная почта защищена] ~] # kcarectl --set-patch-type free
Неизвестное ядро ​​(CentOS 2.6.32-696.13.2.el6.x86_64)

[[Электронная почта защищена] ~] # kcarectl --info
Неизвестное ядро ​​(CentOS 2.6.32-696.13.2.el6.x86_64), нет доступных патчей

[[Электронная почта защищена] ~] # kcarectl --set-patch-type free Неизвестное ядро ​​(CentOS 2.6.32-696.13.2.el6.x86_64) [[Электронная почта защищена] ~] # kcarectl --info Неизвестное ядро ​​(CentOS 2.6.32-696.13.2.el6.x86_64), без патчей
Ирина Семенова во вторник, 10, октябрь, 2017, 12: 42.

К сожалению, мы добавили обновление для этого патча вчера. Таким образом, вы можете проверить обновление сейчас.

К сожалению, мы добавили обновление для этого патча вчера. Таким образом, вы можете проверить обновление сейчас.

Были ли инструкции по установке этого изменения?

Я думал, что оригинальные инструкции были

fs.protected_symlinks_create = 1
fs.protected_hardlinks_create = 1


, который относится к /etc/sysconfig/kcare/sysctl.conf .

Вы можете сделать заметку, если инструкции изменились.

Были ли инструкции по установке этого изменения? Я думал, что исходные инструкции были [b] fs.protected_symlinks_create = 1 fs.protected_hardlinks_create = 1 [/ b] в файле [b] /etc/sysconfig/kcare/sysctl.conf [/ b]. Вы можете сделать заметку, если инструкции изменились.
Уже зарегистрирован? ВОЙТИ
гость
Вторник, 22 октября 2019

Защитный код изображение