CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту symlink и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

Здравствуйте

/etc/sysconfig/kcare/sysctl.conf файл не существует

--

я попробую
sysctl -w fs.enforce_symlinksifowner = 1
sysctl -w fs.symlinkown_gid = 48

Я проверил /etc/sysctl.conf

Но не добавил
fs.enforce_symlinksifowner = 1
fs.symlinkown_gid = 48

Hello /etc/sysconfig/kcare/sysctl.conf [b] файл не существует [/ b] - я пытаюсь sysctl -w fs.enforce_symlinksifowner = 1 sysctl -w fs.symlinkown_gid = 48 Я проверил [b] / etc / sysctl.conf [/ b] [b] Но не добавлено [/ b] fs.enforce_symlinksifowner = 1 fs.symlinkown_gid = 48
Ирина Семенова в понедельник, 23, октябрь, 2017, 10: 15.

Привет!

Решение этой проблемы - создать этот файл вручную.

Здравствуйте! Решение этой проблемы - создать этот файл вручную.

Вы можете помочь?

[[Электронная почта защищена]] # kcarectl --set-patch-type free -update
Неизвестное ядро ​​(CentOS Linux 3.10.0-693.5.2.el7.x86_64)

[[Электронная почта защищена]] # / usr / bin / kcarectl --update
Неизвестное ядро ​​(CentOS Linux 3.10.0-693.5.2.el7.x86_64)

[[Электронная почта защищена]] # kcarectl --info
Неизвестное ядро ​​(CentOS Linux 3.10.0-693.5.2.el7.x86_64), нет доступных патчей

Вы можете помочь? [[Электронная почта защищена]] # kcarectl --set-patch-type free -update Неизвестное ядро ​​(CentOS Linux 3.10.0-693.5.2.el7.x86_64) [[Электронная почта защищена]] # / usr / bin / kcarectl --update Неизвестное ядро ​​(CentOS Linux 3.10.0-693.5.2.el7.x86_64) [[Электронная почта защищена]] # kcarectl --info Неизвестное ядро ​​(CentOS Linux 3.10.0-693.5.2.el7.x86_64), нет доступных патчей

Здравствуйте

Мы готовили обновление для этого ядра. Вы можете проверить сегодня.

Здравствуйте, Мы готовили обновление для этого ядра. Вы можете проверить сегодня.

Привет, я сделал это, и вручную создал sysctl.conf, затем побежал
fs.enforce_symlinksifowner = 1
fs.symlinkown_gid = 99 (для серверов cpanel)

Он по-прежнему говорит: «Никакой защиты символической ссылки не обнаружено» в советнике по безопасности WHM.

Привет, я сделал это, и вручную создал sysctl.conf, затем запустил fs.enforce_symlinksifowner = 1 fs.symlinkown_gid = 99 (для серверов cpanel). Он по-прежнему говорит: «Никакой защиты символической ссылки не обнаружено» в советнике по безопасности WHM.

Здравствуйте

Приносим извинения за неудобства! К сожалению, советник по безопасности не обнаруживает исправления Symlink Protection.
Мы тесно сотрудничаем с cPanel, чтобы исправить это.

Теперь вы можете игнорировать такое сообщение. Ваше ядро ​​защищено, если исправление было применено.

Примечание. Не включайте защиту Apache Symlink

Привет Простите за неудобства! К сожалению, советник по безопасности не обнаруживает исправления Symlink Protection. Мы тесно сотрудничаем с cPanel, чтобы исправить это. Теперь вы можете игнорировать такое сообщение. Ваше ядро ​​защищено, если исправление было применено. Примечание. Не включайте защиту Apache Symlink
Гость - Алекс в понедельник, 30, октябрь, 2017, 19: 55.

Здравствуйте,

Я только что установил патч на облачном сегменте, запущенном «CENTOS 7.4 kvm» «WHM: v66.0.29».
Я перезагрузил сервер несколько раз, и я все еще вижу сообщение «Вы должны перезагрузить сервер для применения обновлений ядра». по WHM.

Здравствуйте, я только что установил патч на облачном сервере, на котором работает «CENTOS 7.4 kvm» «WHM: v66.0.29». Я перезагрузил сервер несколько раз, и я все еще вижу сообщение «Вы должны перезагрузить сервер для применения обновлений ядра». по WHM.
Ирина Семенова в понедельник, 13 ноябрь 2017 11: 22

Привет!
Это известная проблема. Разрешение для этого случая планируется включить в версию cpanel 68 и будет гарантировать, что предупреждение о перезагрузке не появится в системах с использованием настраиваемого ядра.
Вы можете игнорировать это предупреждение

Здравствуйте! Это известная проблема. Разрешение для этого случая планируется включить в версию cpanel 68 и будет гарантировать, что предупреждение о перезагрузке не появится в системах с использованием настраиваемого ядра. Вы можете игнорировать это предупреждение

В CENTOS 7.4 kvm v68.0.12

Uname-р
3.10.0-693.5.2.el7.x86_64

kcarectl --info

kpatch-state: применяется патч
kpatch-for: версия Linux 3.10.0-693.5.2.el7.x86_64 ([Электронная почта защищена]) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)) #1 SMP Пт Oct 20 20: 32: 50 UTC 2017
kpatch-build-time: Tue Oct 24 22: 49: 09 2017
kpatch-description: 2-free; 3.10.0-693.5.2.el7

Но в советнике по безопасности его показ

Не обнаружена защита символической ссылки

На этом сервере нет защиты от ссылок. Вы можете защитить от этого несколькими способами. Ознакомьтесь со следующей документацией, чтобы найти решение, соответствующее вашим потребностям.

могу ли я игнорировать это предупреждение, помощь PLS

В CENTOS 7.4 kvm v68.0.12 uname -r 3.10.0-693.5.2.el7.x86_64 kcarectl --info kpatch-state: применяется патч kpatch-for: версия Linux 3.10.0-693.5.2.el7.x86_64 ([Электронная почта защищена]) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)) #1 SMP Fri Oct 20 20: 32: 50 UTC 2017 kpatch-build-time: Tue Oct 24 22: 49: 09 2017 kpatch-description: 2 -free; 3.10.0-693.5.2.el7. Но в советнике по безопасности его показ не обнаружен. Защита от символьной ссылки. На вашем сервере не установлено никакой защиты симлинк. Вы можете защитить от этого несколькими способами. Ознакомьтесь со следующей документацией, чтобы найти решение, соответствующее вашим потребностям. могу ли я игнорировать это предупреждение, помощь PLS

Советник по безопасности еще не знает, как его обнаружить. cPanel работает над этим. Вы можете игнорировать предупреждение.

Советник по безопасности еще не знает, как его обнаружить. cPanel работает над этим. Вы можете игнорировать предупреждение.
Уже зарегистрирован? ВОЙТИ
гость
Вторник, 22 октября 2019

Защитный код изображение