CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту символьных ссылок и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

Ирина Семенова во вторник, 10, октябрь, 2017, 12: 33.

Да, мы изменили инструкции для этого набора патчей.

Да, мы изменили инструкции для этого набора патчей.

Привет, мне нужен вопрос:
1. Совместим ли он с этим существующим сервером ядра от cPanel?https://documentation.cpanel.net/display/CKB/How+to+Harden+Your+cPanel+System«S + Kernel
[[Электронная почта защищена]] # uname -a
Linux ~ server.com 2.6.32-696.299.10.3.cp6.x86_64 #1 SMP Thu Sep 28 21: 04: 26 UTC 2017 x86_64 x86_64 x86_64 GNU / Linux

2. Совместим ли он с VPS virtuozzo или только с VPS KVM / Server?

Ожидание информации?

Привет, мне нужен вопрос: 1. Совместим ли он с этим существующим сервером ядра с cPanel? Https: //documentation.cpanel.net/display/CKB/How+to+Harden+Your+cPanel+System's+Kernel [[Электронная почта защищена]] # uname -a Linux ~ server.com 2.6.32-696.299.10.3.cp6.x86_64 #1 SMP Thu Sep 28 21: 04: 26 UTC 2017 x86_64 x86_64 x86_64 GNU / Linux 2. Совместим ли он с VPS virtuozzo или только с VPS KVM / Server? Ожидание информации?
Ирина Семенова во вторник, 10, октябрь, 2017, 12: 52.

1. Нет, мы не поддерживаем это ядро. Это ядро ​​устарело (как вы можете найти здесь https://documentation.cpanel.net/display/CKB/How+to+Harden+Your+cPanel+System«S + Ядро)

2. Он совместим только с виртуальными машинами или сервером. Он несовместим с контейнерами.

1. Нет, мы не поддерживаем эти ядра. Это ядро ​​устарело (как вы можете найти здесь https://documentation.cpanel.net/display/CKB/How+to+Harden+Your+cPanel+System's+Kernel) 2. Он совместим только с виртуальными машинами или сервером. Он несовместим с контейнерами.

Ого, так инструкции снова изменились?

Я просто подожду пару месяцев, возможно, к тому времени все детали будут сглажены.

Ого, так инструкции снова изменились? Я просто подожду пару месяцев, возможно, к тому времени все детали будут сглажены.

Я приношу извинения за неудобства!
Мы устранили ошибки и внесли изменения. Теперь вы можете с уверенностью использовать эти инструкции для получения патчей.

Я приношу извинения за неудобства! Мы устранили ошибки и внесли изменения. Теперь вы можете с уверенностью использовать эти инструкции для получения патчей.

Ну, я могу понять, что инструкции могут измениться. Но как люди предполагают знать, чтобы обновить свои настройки, если они уже установили это, а затем не вернулись на эту страницу?

Ну, я могу понять, что инструкции могут измениться. Но как люди предполагают знать, чтобы обновить свои настройки, если они уже установили это, а затем не вернулись на эту страницу?
Ирина Семенова в понедельник, 16, октябрь, 2017, 09: 23.

Спасибо за ваш ответ!

В следующий раз мы создадим сообщение об изменениях

Спасибо за ваш ответ! В следующий раз мы создадим сообщение об изменениях;)

Здравствуйте

Первое обновление ядра и позднее установка Cpanel

Or

Требуется установка первого Cpanel и последующее обновление ядра?

Спасибо

Привет, Первое обновление ядра, а затем установка Cpanel или установка First Cpanel и последующее обновление ядра? благодаря
Ирина Семенова в понедельник, 16, октябрь, 2017, 09: 21.

Привет!

Вы можете сначала выполнить обновление ядра, потому что если вы сначала установите cPanel, cPanel попросит обновление.
Чтобы узнать больше информации, вы можете посмотреть документацию cPanel.

Здравствуйте! Вы можете сначала выполнить обновление ядра, потому что если вы сначала установите cPanel, cPanel попросит обновление. Чтобы узнать больше информации, вы можете посмотреть документацию cPanel.

Здравствуйте

Я установил новый centos 6.9 и попробую,

[[Электронная почта защищена]] # kcarectl --set-patch-type free -update
выбран «свободный» тип патча
Загрузка обновлений
Уровень исправления 208 применяется, эффективная версия ядра 2.6.32-696.13.2.el6
Обновления уже загружены
Ядро безопасно


[[Электронная почта защищена]] # nano /etc/sysconfig/kcare/sysctl.conf
НЕ НАЙДЕНО

Любая проблема?

Привет, я установил новый centos 6.9 и попробовал [[Электронная почта защищена]] # kcarectl --set-patch-type free -update 'free' тип патча выбран Скачивание обновлений Уровень исправления 208 применяется, эффективная версия ядра 2.6.32-696.13.2.el6 [b] Обновления уже загружены Ядро безопасно [/ b] [[Электронная почта защищена]] # nano /etc/sysconfig/kcare/sysctl.conf НЕ НАЙДЕНО Любая проблема?
Уже зарегистрирован? ВОЙТИ
гость
Пятница, 22 ноября 2019

Защитный код изображение