CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту символьных ссылок и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

Привет!

Свободная защита символических ссылок (уровень ядра) не мешает mod_ruid2 (уровень Apache). Поэтому вам не нужно отключать патч.

С Уважением,

Здравствуйте! Свободная защита символических ссылок (уровень ядра) не мешает mod_ruid2 (уровень Apache). Поэтому вам не нужно отключать патч. С Уважением,

Здравствуйте Ирина,

я попытался установить патч, это вывод после того, как я запустил "curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | Баш»

Установка: kernelcare-2.13-2.x86_64 1 / 1
Модуль pyOpenSSL не найден. Чтобы иметь возможность проверить SSL-сертификаты хостов с поддержкой SNI, пожалуйста, установите pyOpenSSL> = 0.13
Запрос пробной лицензии для 95.141.33.79, пожалуйста, подождите ...
HTTP Ошибка 403: запрещено, повторная попытка в секундах 3 ...
Запрос пробной лицензии для 95.141.33.79, пожалуйста, подождите ...
HTTP Ошибка 403: запрещено, повторная попытка в секундах 6 ...
!!!! / etc / yum / universal-hooks / posttrans / cp_clear_packman_cache не является исполняемым
Проверка: kernelcare-2.13-2.x86_64 1 / 1

Установлен:
kernelcare.x86_64 0:2.13-2

Но когда я запускаю команду «kcarectl --set-patch-type free -update», я получил это

Тип 'free' для текущего ядра недоступен

Моей версией ядра является 3.10.0-693.2.2.el7.centos.plus.x86_64

Что я должен делать?

Привет, Ирина, я попытался установить патч, это результат после запуска «curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash» Установка: kernelcare-2.13-2.x86_64 1 / 1 pyOpenSSL модуль не найден. Чтобы иметь возможность проверять SSL-сертификаты хостов с поддержкой SNI, пожалуйста, установите pyOpenSSL> = 0.13 Запрос пробной лицензии для 95.141.33.79, пожалуйста, подождите ... Ошибка HTTP 403: Запрещено, Повторная попытка в секундах 3 ... Запрос пробной лицензии для 95.141.33.79, пожалуйста подождите ... Ошибка HTTP 403: Запрещено, Повторная попытка в 6 секундах ... !!!! / etc / yum / universal-hooks / posttrans / cp_clear_packman_cache не исполняется Проверка: kernelcare-2.13-2.x86_64 1 / 1 Установлен: kernelcare.x86_64 0: 2.13-2 Но когда я запускаю команду «kcarectl -set-patch -type free --update "Я получил этот« бесплатный »тип патча недоступен для текущего ядра. Моя версия ядра - 3.10.0-693.2.2.el7.centos.plus.x86_64. Что мне делать?

Здравствуй!

Вы используете ядро ​​CentOS Plus, мы поддерживаем только CentOS 6 / 7 для Free / Extra patchset.

Здравствуй! Вы используете ядро ​​CentOS Plus, мы поддерживаем только CentOS 6 / 7 для Free / Extra patchset.

Здравствуйте

Для веб-сервера Cpanel + Litespeed

fs.symlinkown_gid = 48
Or
fs.symlinkown_gid = 48

Необходимые?

Привет для веб-сервера Cpanel + Litespeed fs.symlinkown_gid = 48 Или fs.symlinkown_gid = требуется 48?

Or
fs.symlinkown_gid = 99
?

Или fs.symlinkown_gid = 99?

Для cPanel вам нужно fs.symlinkown_gid = 99

Для cPanel вам нужно fs.symlinkown_gid = 99
Гость - имеет во вторник, 12 декабрь 2017 23: 03

Есть ли способ сделать живой тест, чтобы узнать, что ваш патч включен или нет?
Я имею в виду SSH или учетную запись хоста пользователя?
С уважением

Есть ли способ сделать живой тест, чтобы узнать, что ваш патч включен или нет? Я имею в виду SSH или учетную запись хоста пользователя? С уважением

вы не можете проверить его с помощью ssh, так как способ использования условия гонки - через web (apache / litespeed). И это не просто, вам нужен скрипт, который это делает.

вы не можете проверить его с помощью ssh, так как способ использования условия гонки - через web (apache / litespeed). И это не просто, вам нужен скрипт, который это делает.

Для cPanel вам нужен 99.

Для cPanel вам нужен 99.

Здравствуйте,

При попытке установить бесплатный патч я получаю следующее сообщение:

[Электронная почта защищена] [/ etc / sysconfig / kcare] # kcarectl --set-patch-type free
Неизвестное ядро ​​(CentOS 2.6.32-696.18.7.el6.x86_64)

Привет, я получаю следующее сообщение, когда я пытаюсь установить бесплатный патч: [Электронная почта защищена] [/ etc / sysconfig / kcare] # kcarectl --set-patch-type бесплатно Неизвестное ядро ​​(CentOS 2.6.32-696.18.7.el6.x86_64)
Уже зарегистрирован? ВОЙТИ
гость
Воскресенье, 17 ноября 2019

Защитный код изображение