CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту символьных ссылок и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

Гость - Дамжан в понедельник, 13 ноябрь 2017 15: 16

Будет ли это работать для контейнеров OpenVZ, если они установлены на узле хоста?

Будет ли это работать для контейнеров OpenVZ, если они установлены на узле хоста?

В файле / etc / sysconfig / kcare / sysctl.conf отсутствует файл sysctl.conf.
Я использую KernelCare с лицензией

В файле / etc / sysconfig / kcare нет файла sysctl.conf / Я использую KernelCare с лицензией

просто создайте вручную и добавьте требуемый текст

мы сделали это на одном сервере, но не сделали других, потому что нет ничего, чтобы сказать, что он работает до тех пор, пока cpanel не перестанет говорить в советнике по безопасности, что нет защиты символической ссылки, я знаю, что cloudlinux обсуждает с ними об этом.

просто создайте вручную и добавьте требуемый текст, который мы сделали на одном сервере, но не сделали других, потому что нет ничего, чтобы сказать, что он фактически работает до тех пор, пока cpanel не перестанет говорить в советнике по безопасности, что нет защиты символической ссылки, я знаю, что cloudlinux находится в дискуссиях с ними об этом.

Привет,

Это необходимо для всех установок CL?
На моих серверах, без этого, я получаю это в советнике по безопасности от WHM:

«Защита от вирусов Apache: защита CloudLinux действует.
Кажется, что у вас есть достаточная защита от Apache Symlink Attacks. Если вы еще этого не сделали, подумайте об увеличении защиты с помощью CageFS. Для получения дополнительной информации о защите от Symlink-атаки см. Наши предложения по этому вопросу. "

И ЭТО :

«Защита от вирусов Apache: защита Cloudlinux CageFS действует
Вы используете CageFS. Это обеспечивает защиту уровня файловой системы для ваших пользователей и сервера ».

И НАКОНЕЦ ЭТО: (ВСЕ В ЗЕЛЕНОМ)

«Ядро системы обновлено в версии« 2.6.32-673.26.1.lve1.4.30.el6.x86_64 ».»

Это нормально или лучше применить этот патч тоже?
С уважением
Fabian

Здравствуйте, IGor, Это необходимо для всех установок CL? На моих серверах, без этого, я получаю это в советнике по безопасности из WHM: «Защита Apache Symlink: применяются защиты CloudLinux. У вас есть достаточная защита от атак Symbian Attack. Если вы еще этого не сделали, подумайте об увеличении защиты с помощью CageFS Для получения дополнительной информации о защите от symlink-атак см. Наши предложения по этому вопросу. " И ЭТО: «Защита Apache Symlink: защита Cloudlinux CageFS в действительности. Вы используете CageFS. Это обеспечивает защиту уровня файловой системы для ваших пользователей и сервера». И ПОЛНОСТЬЮ ЭТО: (ВСЕ В ЗЕЛЕНОМ) «Ядро системы обновлено в версии« 2.6.32-673.26.1.lve1.4.30.el6.x86_64 ».» Это нормально или лучше применить этот патч тоже? Приветствую Фабиана

Вам это не нужно на серверах CloudLinux (CloudLinux имеет встроенный). Это только для серверов CentOS.

Вам это не нужно на серверах CloudLinux (CloudLinux имеет встроенный). Это только для серверов CentOS.

Hi
Можно установить и использовать с DirectAdmin на CentOS 7?
Как удалить, если необходимо?
Спасибо

Привет Можете установить и использовать с DirectAdmin на CentOS 7? Как удалить, если необходимо? благодаря

Да, ты можешь.
yum удалить kernelcare

удалит его

Да, ты можешь. yum удалить kernelcare удалит его

также, если я пытаюсь удалить, я должен запустить дополнительную команду, чтобы отменить:

Выполнили:
sysctl -w fs.enforce_symlinksifowner = 1
sysctl -w fs.symlinkown_gid = 48

также, если я пытаюсь удалить, я должен запустить дополнительную команду для отмены: [quote] Выполнить: sysctl -w fs.enforce_symlinksifowner = 1 sysctl -w fs.symlinkown_gid = 48 [/ quote]

Здравствуйте,

У меня есть VPS с CENTOS 7.4 и Cpanel 68.0.13.

Я хочу установить Apache mod_http2 вместе с mod_mpm_event, но я не могу, потому что mod_http2 несовместим с mod_mpm_prefork и mod_ruid2 с «Виртуальными хостами Jail Apache с использованием настроек настройки mod_ruid2 и cPanel jailshell»

Я сомневаюсь. Прежде чем устанавливать бесплатный патч для Symlink Protection, мне нужно удалить Apache mod_ruid2 и отключить настройку настройки, или это необязательно? Могу ли я сделать это после установки патча?

заранее спасибо

Привет, у меня есть VPS с CENTOS 7.4 и Cpanel 68.0.13. Я хочу установить Apache mod_http2 вместе с mod_mpm_event, но я не могу, потому что mod_http2 не совместим с mod_mpm_prefork и mod_ruid2 с «Виртуальными хостами Jail Apache с использованием настройки настройки mod_ruid2 и cPanel jailshell». У меня есть сомнения. Прежде чем устанавливать бесплатный патч для Symlink Protection, мне нужно удалить Apache mod_ruid2 и отключить настройку настройки, или это необязательно? Могу ли я сделать это после установки патча? Заранее спасибо :)
Уже зарегистрирован? ВОЙТИ
гость
Пятница, 22 ноября 2019

Защитный код изображение