CloudLinux - Блог CloudLinux - Набор патчей Symlink Protection доступен бесплатно для CentOS 6 и 7, даже если вы не используете KernelCare
RSS

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Патч-набор Symlink Protection доступен бесплатно для CentOS 6 & 7, даже если вы не используете KernelCare

Несколько недель назад мы выпустили KernelCare "Extra" Patchset с исправлениями безопасности и защитой symlink, доступной всем клиентам KernelCare, использующим ядра CentOS. Сегодня мы с удовольствием сообщаем, что вы можете получить Патч для защиты Symlink для CentOS 6 и 7 бесплатно, даже если у вас нет лицензий на KernelCare.

Мы обсуждали с командой cPanel, как помочь с укреплением ядра систем своих клиентов. Этот пакет защиты Symlink Protect защитит системы CentOS 6 и 7 и поможет защитить серверы общего доступа, включая серверы cPanel, от атак symlink.

Часто атака с использованием символической привязки часто используется для серверов с общим хостингом. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим. Этот набор исправлений помогает защитить от таких атак.

Обратите внимание, что этот набор исправлений включает только защиту символьных ссылок и не включает исправления безопасности (эти клиенты доступны клиентам KernelCare) - вам все равно нужно обновлять ядро ​​и REBOOT каждый раз, когда будет выпущено новое ядро ​​CentOS, чтобы ваше ядро ​​было безопасным.

Мы рекомендуем установить этот патч-набор на CentOS 6 и CentOS 7, чтобы сделать ваши серверы более безопасными.

Как установить бесплатный набор исправлений для Symlink:

Ниже мы приводим инструкции по установке KernelCare и бесплатному запуску этого патч-набора. Хотя этот набор патчей для защиты символики является частью KernelCare , он не требует, чтобы вы приобрели лицензию или даже зарегистрировались для бесплатной пробной версии KernelCare (если вы решите приобрести лицензию на более позднюю дату, информация о том, как обновить, скоро будет опубликована в документации).

Чтобы включить защиту symlink, выполните следующие действия:

Сначала установите Клиент KernelCare:

curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

Включить свободно тип патча, этот тип патча не требует лицензии

kcarectl --set-patch-type free -update

«Свободный» патч будет применен к следующему обновлению.

. . .

Во время установки вы должны увидеть нечто похожее на:


ОС: CentOS6  kernel: kernel-2.6.32-696.el6  время: 2017-06-22 16: 13: 40  uname: 2.6.32-642.15.1.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: нет данных  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/


Отредактируйте файл /etc/sysconfig/kcare/sysctl.conf (или создайте его, если он не существует) - добавьте строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48 


Выполнили:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Примечание. В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Нажмите здесь, чтобы узнать больше о KernelCare.

Beta: EasyApache 4 обновлен
Beta: обновлен LVE Manager

Комментарии 112

[Электронная почта защищена] ~] # kcarectl --set-patch-type free -update
Тип 'free' для текущего ядра недоступен
[[Электронная почта защищена] ~] #


Kernel 3.10.0-862.6.3.el7.x86_64

[Электронная почта защищена] ~] # kcarectl -set-patch-type free -update 'free' тип патча недоступен для текущего ядра [[Электронная почта защищена] ~]# Kernel 3.10.0-862.6.3.el7.x86_64

Сегодня для этого ядра были добавлены бесплатные и дополнительные исправления.

Сегодня для этого ядра были добавлены бесплатные и дополнительные исправления.

Если у вас все еще есть это сообщение - обратитесь в нашу службу поддержки, и мы рассмотрим вашу проблему

Если у вас все еще есть это сообщение - обратитесь в нашу службу поддержки, и мы рассмотрим вашу проблему

Ошибка в CentOS 7 x64:

[[Электронная почта защищена] ~] # kcarectl --set-patch-type free -update
Тип 'free' для текущего ядра недоступен

Ошибка в CentOS 7 x64: [[Электронная почта защищена] ~] # kcarectl --set-patch-type free -update [b] 'free' тип патча недоступен для текущего ядра [/ b]

Здравствуйте,

У меня RHEL 7

[[Электронная почта защищена] ~] # kcarectl --set-patch-type free -update
Тип 'free' для текущего ядра недоступен

kernel 3.10.0-862.9.1.el7.x86_64

[[Электронная почта защищена] kcare] # kcarectl --info
kpatch-state: применяется патч
kpatch-for: версия Linux 3.10.0-862.9.1.el7.x86_64 ([Электронная почта защищена]) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)) #1 SMP Wed Jun 27 04: 30: 39 EDT 2018
kpatch-build-time: Tue Jul 17 22: 40: 29 2018
kpatch-description: 2-; 3.10.0-862.9.1.el7

Я хотел бы знать, установлен ли бесплатный патч или пробный дополнительный патч от KernelCare?

Заранее спасибо :-)

Привет, у меня есть RHEL 7 [[Электронная почта защищена] ~] # kcarectl -set-patch-type free -update 'free' тип патча недоступен для текущего ядра ядра 3.10.0-862.9.1.el7.x86_64 [[Электронная почта защищена] kcare] # kcarectl --info kpatch-state: patch применяется kpatch-for: версия Linux 3.10.0-862.9.1.el7.x86_64 ([Электронная почта защищена]) (версия gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)) #1 SMP Wed Jun 27 04: 30: 39 EDT 2018 kpatch-build-time: Tue Jul 17 22: 40: 29 2018 kpatch-description: 2 -; 3.10.0-862.9.1.el7 Я хотел бы знать, установлен ли бесплатный патч или пробный дополнительный патч от KernelCare? Заранее спасибо :-)

Дополнительные и бесплатные патчи доступны только для CentOS 6 и 7, а не для RHEL
Поэтому были применены пробные исправления KernelCare

Дополнительные и бесплатные патчи доступны только для CentOS 6 и 7, а не для RHEL. Были применены пробные исправления KernelCare

Здравствуйте,

Всего одна информация:

Я вручную создал файл sysctl.conf и добавляю следующее:
fs.enforce_symlinksifowner = 1
fs.symlinkown_gid = 48

Я побежал
[[Электронная почта защищена] kcare] # sysctl -w fs.enforce_symlinksifowner = 1
sysctl: невозможно stat / proc / sys / fs / enforce_symlinksifowner: этого файла нет

Не могли бы вы помочь мне?

С наилучшими пожеланиями,
Elizabeta

Здравствуйте, Только одна информация: у меня есть файл cretaed sysctl.conf и добавьте это: fs.enforce_symlinksifowner = 1 fs.symlinkown_gid = 48 Я побежал [[Электронная почта защищена] kcare] # sysctl -w fs.enforce_symlinksifowner = 1 sysctl: не может stat / proc / sys / fs / enforce_symlinksifowner: Нет этого файла Не могли бы вы мне помочь? С уважением, Элизабет

Здравствуйте,

Спасибо Ирине за ваше объяснение.

С наилучшими пожеланиями,
Elizabeta

Привет, Спасибо Ирине за ваше объяснение. С уважением, Элизабет

Здравствуйте, это не сработало для меня, пожалуйста, смотрите ниже:

[[Электронная почта защищена] ~] # kcarectl --set-patch-type free
Неизвестное ядро ​​(CentOS Linux 3.10.0-862.11.6.el7.x86_64)

[[Электронная почта защищена] ~] # kcarectl --info
Неизвестное ядро ​​(CentOS Linux 3.10.0-862.11.6.el7.x86_64), нет доступных патчей

Привет, это не помогло мне, см. Ниже: [[Электронная почта защищена] ~] # kcarectl - набор патчей без неизвестного ядра (CentOS Linux 3.10.0-862.11.6.el7.x86_64) [[Электронная почта защищена] ~] # kcarectl --info Неизвестное ядро ​​(CentOS Linux 3.10.0-862.11.6.el7.x86_64), нет доступных патчей

Мы собираемся выпустить исправления KernelCare для 3.10.0-862.11.6.el7.x86_64 завтра.

Мы собираемся выпустить исправления KernelCare для 3.10.0-862.11.6.el7.x86_64 завтра.
Уже зарегистрирован? ВОЙТИ
гость
Пятница, 22 ноября 2019

Защитный код изображение