CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту символьных ссылок и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

Здравствуйте,
Обычно требуется несколько дней, чтобы новое ядро ​​получало поддержку от KernelCare

Привет, Обычно требуется несколько дней, чтобы новое ядро ​​стало поддерживаться KernelCare

Это фантастическая благодарность.

Это фантастическая благодарность.
Гость - RS200 во вторник, 09 январь 2018 08: 55

Здравствуйте,

У меня есть Centos 7 Plus на моем VPS.

Поддерживаете ли вы это ядро ​​для бесплатного патча? заранее спасибо

3.10.0-327.4.4.el7.centos.plus.x86_64

Привет, у меня есть Centos 7 Plus на моем VPS. Поддерживаете ли вы это ядро ​​для бесплатного патча? Заранее спасибо 3.10.0-327.4.4.el7.centos.plus.x86_64

Привет!
К сожалению, мы не поддерживаем это ядро ​​для бесплатного патча сейчас

Здравствуйте! К сожалению, мы не поддерживаем это ядро ​​для бесплатного патча сейчас

Здравствуйте,

fs.enforce_symlinksifowner на любой службе = 1? Cpanel или Directadmin, ...

и о fs.symlinkown_gid, как найти правильный номер? есть ли какая-нибудь команда для запуска в SSH? Например: id -g apache

Привет, fs.enforce_symlinksifowner на любой службе = 1? Cpanel или Directadmin, ... и о fs.symlinkown_gid, как найти правильный номер? есть ли какая-нибудь команда для запуска в SSH? Например: id -g apache

Здравствуйте,
да, для установки этой опции используйте - fs.enforce_symlinksifowner = 1

Подробные инструкции и настройки для Symlink Owner Match Protection вы найдете в нашей документации - https://docs.cloudlinux.com/index.html?symlink_owner_match_protection.html

Привет, да, для установки этой опции используйте - fs.enforce_symlinksifowner = 1. В нашей документации вы найдете подробные инструкции и настройки для Symlink Owner Match Protection - https://docs.cloudlinux.com/index.html?symlink_owner_match_protection.html
Гость - Красный в понедельник 15 январь 2018 12: 06

Я получаю «/etc/sysconfig/kcare/sysctl.conf: Нет такого файла или каталога» на сервере cPanel, что означает, что когда я перезагружаю патчсет, не применяется, пока я снова не запустил последние шаги:
sysctl -w fs.enforce_symlinksifowner = 1
sysctl -w fs.symlinkown_gid = 99

Что я могу сделать, чтобы решить эту проблему? благодаря

Я получаю «/etc/sysconfig/kcare/sysctl.conf: нет такого файла или каталога» на сервере cPanel, что означает, что при перезагрузке набора патчей не применяется, пока я не запустил последние шаги еще раз: sysctl -w fs.enforce_symlinksifowner = 1 sysctl -w fs.symlinkown_gid = 99 Что я могу сделать, чтобы решить эту проблему? благодаря

Вы можете либо создать файл, либо просто добавить значения в /etc/sysctl.conf

Вы можете либо создать файл, либо просто добавить значения в /etc/sysctl.conf
Гость - Танос во вторник, 13 февраль 2018 22: 31

Хотя я вставил две строки:

fs.enforce_symlinksifowner = 1
fs.symlinkown_gid = 99


in "/etc/sysctl.conf" (файл "/etc/sysconfig/kcare/sysctl.conf" не существует), я должен снова запустить команды:

sysctl -w fs.enforce_symlinksifowner = 1
sysctl -w fs.symlinkown_gid = 99


после каждого перезагрузки сервера, потому что я получаю это сообщение:

Для CentOS 6 защита символьной ссылки ядра не включена.
По-видимому, у вас нет защиты символической ссылки через правильно исправленное ядро ​​на этом сервере, что обеспечивает дополнительную защиту помимо тех решений, которые используются в пользовательской области. Прочтите следующую документацию, чтобы узнать, как применять эту защиту.


Я также получаю сообщение:

Ядро системы находится в версии "", но настроено на загрузку до версии "2.6.32-696.20.1.el6.x86_64".
Вы должны выполнить одно из следующих действий, чтобы убедиться, что система обновлена:
Подождите несколько дней, чтобы KernelCare опубликовал патч ядра.
Перезагрузка системы.


Любые идеи, как это исправить?

Хотя я вставил две строки: [b] fs.enforce_symlinksifowner = 1 fs.symlinkown_gid = 99 [/ b] в [b] "/ etc / sysctl.conf" [/ b] (файл [b] "/ etc / sysconfig / kcare / sysctl.conf "[/ b] не существует), мне нужно снова запустить команды: [b] sysctl -w fs.enforce_symlinksifowner = 1 sysctl -w fs.symlinkown_gid = 99 [/ b] после каждого перезагрузка сервера, потому что я получаю это сообщение: [b] Защита символьной ссылки ядра не включена для CentOS 6. По-видимому, у вас нет защиты символической ссылки через правильно исправленное ядро ​​на этом сервере, что обеспечивает дополнительную защиту помимо тех решений, которые используются в пользовательской области. Прочитайте следующую документацию, чтобы узнать, как применить эту защиту. [/ B] Я также получаю сообщение: [b] Ядро системы находится в версии "", но для загрузки загружается версия "2.6.32-696.20.1.el6.x86_64 ». Для обеспечения актуальности системы необходимо выполнить одно из следующих действий: Подождите несколько дней, чтобы KernelCare опубликовал патч ядра. Перезагрузите систему. [/ B] Любые идеи, как это исправить?

Пожалуйста, отправьте билет по адресу https://cloudlinux.zendesk.com (Отдел KernelCare), поэтому наша служба поддержки может помочь вам в решении этой проблемы.

Пожалуйста, отправьте билет в https://cloudlinux.zendesk.com (отдел KernelCare), чтобы наша служба поддержки могла помочь вам в решении этой проблемы.
Уже зарегистрирован? ВОЙТИ
гость
Воскресенье, 17 ноября 2019

Защитный код изображение