CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту символьных ссылок и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

Как только я следую этим инструкциям на складе Centos 7 / Cpanel, я получаю

[51.516022] kcare: загружает ядро ​​скрытых модулей.
[51.516083] kcare: проверка модуля не выполнена: подпись и / или требуемый ключ отсутствует - повреждение ядра

кроме того, что он утверждает, что был успешным

[55.296569] kpatch: успешно применено 70 hunks к 'vmlinux'

Так безопасно ли это использовать?

Я тоже подал билет.

После того, как я следую этим инструкциям на складе Centos 7 / Cpanel, я получаю [51.516022] kcare: загружает ядро ​​с отключенным модулем дерева. [51.516083] kcare: проверка модуля не выполнена: подпись и / или требуемый ключ отсутствуют - ядро, отличное от того, которое, как утверждается, было успешным [55.296569] kpatch: успешно применено 70 hunks к 'vmlinux'. Так безопасно ли это использовать? Я тоже подал билет.

Вы можете спокойно игнорировать эти сообщения - KernelCare работает правильно

Вы можете спокойно игнорировать эти сообщения - KernelCare работает правильно

Я устанавливаю этот патч в своих vps с запуском plesk, и эта ошибка появляется

[[Электронная почта защищена] ~] # kcarectl --set-patch-type free -update
Тип 'free' для текущего ядра недоступен
[[Электронная почта защищена] ~] # uname -a
Linux vpsXXXXXX.vps.ovh.ca 3.10.0-693.21.1.el7.x86_64 #1 SMP Wed Mar 7 19: 03: 37 UTC 2018 x86_64 x86_64 x86_64 GNU / Linux
[[Электронная почта защищена] ~] # kcarectl --info
Патчей не применяется, но некоторые из них доступны, запустите «kcarectl -update».
[[Электронная почта защищена] ~] # kcarectl --update
Загрузка обновлений
IP 139.99.XXX.YYY уже использовался для пробной версии на 2018-02-05

Я устанавливаю этот патч в своих vps с запуском plesk, и эта ошибка появляется [[Электронная почта защищена] ~] # kcarectl -set-patch-type free -update 'free' тип патча недоступен для текущего ядра [[Электронная почта защищена] ~] # uname -a Linux vpsXXXXXX.vps.ovh.ca 3.10.0-693.21.1.el7.x86_64 #1 SMP Wed Mar 7 19: 03: 37 UTC 2018 x86_64 x86_64 x86_64 GNU / Linux [[Электронная почта защищена] ~] # kcarectl --info Нет патчей, но некоторые из них доступны, запустите 'kcarectl --update'. [[Электронная почта защищена] ~] # kcarectl --update Загрузка обновлений IP 139.99.XXX.YYY уже использовался для пробной версии на 2018-02-05

Здравствуйте! Обратите внимание, что для 3.10.0-693.21.1.el7.x86_64 нет патчей,
ETA - завтра.

Здравствуйте! Обратите внимание, что нет никаких патчей для 3.10.0-693.21.1.el7.x86_64, ETA - завтра.

Я хотел бы убедиться: он работает без панели управления, такой как cPanel или DirectAdmin? Просто Linux-сервер с только Apache httpd?

Я хотел бы убедиться: он работает без панели управления, такой как cPanel или DirectAdmin? Просто Linux-сервер с только Apache httpd?

Просто сервер CentOS - больше ничего не требуется

Просто сервер CentOS - больше ничего не требуется

Не работает на Centos 6 (64Bit)

[Электронная почта защищена][~] # uname -a
Linux server.mydomain.com 2.6.32-696.28.1.el6.x86_64 #1 SMP Wed May 9 23: 09: 02 UTC 2018 x86_64 x86_64 x86_64 GNU / Linux

[Электронная почта защищена] [~] # kcarectl --set-patch-type free -update
Неизвестное ядро ​​(CentOS 2.6.32-696.28.1.el6.x86_64)

Не работает на Centos 6 (64Bit) [Электронная почта защищена][~] # uname -a Linux server.mydomain.com 2.6.32-696.28.1.el6.x86_64 #1 SMP Wed May 9 23: 09: 02 UTC 2018 x86_64 x86_64 x86_64 GNU / Linux [Электронная почта защищена] [~] # kcarectl --set-patch-type free -update Неизвестное ядро ​​(CentOS 2.6.32-696.28.1.el6.x86_64)
Гость - OMID в воскресенье, 13, май 2018, 08: 32

Обычно требуется несколько дней, чтобы новое ядро ​​получало поддержку от KernelCare

Обычно требуется несколько дней, чтобы новое ядро ​​получало поддержку от KernelCare

kcarectl --info
Неизвестное ядро ​​(CentOS 2.6.32-754.el6.x86_64), нет доступных патчей

Это то, что я получаю.

kcarectl --info Неизвестное ядро ​​(CentOS 2.6.32-754.el6.x86_64), без патчей. Это то, что я получаю.

Привет Нагиб,

Недавно мы добавили поддержку этого ядра

Привет Nagib, Мы добавили поддержку этого ядра в последнее время
Уже зарегистрирован? ВОЙТИ
гость
Воскресенье, 17 ноября 2019

Защитный код изображение