Блог Imunify360 - здесь есть «дополнительный» набор патчей KernelCare для CentOS 6 и 7 с защитой символических ссылок
Imunify360 и Imunify Sensor Blog

Патч KernelCare «Extra» для CentOS 6 & 7 с поддержкой символической ссылки здесь

Патч KernelCare «Extra» для CentOS 6 & 7 с поддержкой символической ссылки здесь

Дополнительный пакет исправлений KernelCare включает все исправления безопасности от KernelCare для CentOS 6 и CentOS 7, а также защиту символической ссылки против гонки symlink.

Атака с символической игрой часто используется против общих серверов хостинга. Это позволяет злоумышленнику обслуживать файлы, принадлежащие другим пользователям, создавая символическую ссылку на эти файлы. Он часто используется для доступа к файлам config.php, принадлежащим другим пользователям.

Этот дополнительный набор исправлений также включает исправление IPSet для CentOS 6.

We рекомендовать вы устанавливаете этот набор патчей для KernelCare, работающего на CentOS 6 и CentOS 7. Это требование для Imunify360 для CentOS 6.

Внимание, Для пользователей ОС CloudLinux этот патч уже скомпилирован в ядре.

Дополнительный набор патчей доступен в версии 2.12-5 и новее.

Чтобы включить дополнительные исправления и применить патч, запустите:

kcarectl --set-patch-type extra-update

Чтобы включить дополнительные исправления без обновления, запустите

kcarectl --set-patch-type extra

Пакет «extra» будет применен к следующему автоматическому обновлению.

Чтобы просмотреть детали, выполните:

kcarectl --patch-info

Вы должны увидеть нечто похожее на:

ОС: centos6  Ядро: kernel-2.6.32-696.6.3.el6  время: 2017-07-31 22: 46: 22  uname: 2.6.32-696.6.3.el6  kpatch-name: 2.6.32 / symlink-protection.patch  kpatch-description: symlink protection // Если вы видите этот патч, это означает, что вы можете включить защиту symlink.  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: N / A  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / symlink-protection.kpatch-1.patch  kpatch-description: защита символической ссылки (адаптация kpatch)  kpatch-kernel: kernel-2.6.32-279.2.1.el6  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: N / A  kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/  kpatch-name: 2.6.32 / ipset-fix-list-shrinking.patch  kpatch-description: исправить список ipset без каких-либо причин  kpatch-kernel: N / A  kpatch-cve: N / A  kpatch-cvss: N / A  kpatch-cve-url: N / A  kpatch-patch-url: https://bugs.centos.org/view.php?id=13499

Чтобы включить защиту соответствия владельца Symlink, добавьте следующие строки:

fs.enforce_symlinksifowner = 1  fs.symlinkown_gid = 48

В /etc/sysconfig/kcare/sysctl.conf.

И запустите:

sysctl -w fs.enforce_symlinksifowner = 1  sysctl -w fs.symlinkown_gid = 48

Внимание: В стандартной установке Apache Apache Apache обычно работает под GID 48. На серверах cPanel Apache работает под пользователем nobody, GID 99.

Видеть http://docs.cloudlinux.com/index.html?symlink_owner_match_protection.html для получения информации.

щелчок здесь чтобы узнать больше о KernelCare.

Imunify360 2.5.0 бета здесь, включает в себя улучшенную C ...
Обновление для mod_lsapi

Комментарии 17

не работает для меня, плюс вы набираете некоторые из них неправильно

kcarectl --set-patch-type extra-update
использование: kcarectl [-h] [-i] [-u] [--unload] [--smart-update] [--auto-update]
[--local PATH] [--patch-info] [-freezer freezer] [--nofreeze]
[--force] [--uname] [--license-info] [-import-key PATH]
[--register KEY] [--register-autoretry] [--unregister]
[--check] [--test] [--prefix PREFIX] [--test-s3]
[-aws-access-key KEY] [-aws-secret-key KEY]
[-aws-region REGION] [-aws-bucket BUCKET]
[-aws-prefix PREFIX] [--nosignature]
[-set-monitoring-key KEY] [--doctor] [--enable-auto-update]
[--disable-auto-update] [--plugin-info] [--version]
kcarectl: ошибка: непризнанные аргументы: --set-patch-type extra


не работает для меня, плюс вы вводите некоторые из них неправильно kcarectl --set-patch-type extra -update use: kcarectl [-h] [-i] [-u] [--unload] [--smart-update ] [--auto-update] [--local PATH] [--patch-info] [-freezer freezer] [--nofreeze] [-force] [--uname] [-license-info] [ --import-key PATH] [--register KEY] [--register-autoretry] [--unregister] [--check] [--test] [--prefix PREFIX] [--test-s3] [- -aws-access-key KEY] [-aws-secret-key KEY] [-aws-region REGION] [-aws-bucket BUCKET] [-aws-prefix PREFIX] [--nosignature] [- [-dable-auto-update] [-plugin-info] [--version] kcarectl: ошибка: непризнанные аргументы: - -set-patch-type extra

Удостоверьтесь, что у вас установлена ​​последняя версия программы для работы с ядром. Сделайте yum update kernelcare -> он должен помочь.

Удостоверьтесь, что у вас установлена ​​последняя версия программы для работы с ядром. Сделайте yum update kernelcare -> он должен помочь.
Гость - адм во вторник, 22 август 2017 20: 07

kcarectl --set-patch-type extra-update
выбрано «дополнительный» тип патча
Загрузка обновлений
Ошибка HTTP 404: не найдено, повторная попытка в 3 секундах ...
Ошибка HTTP 404: не найдено, повторная попытка в 6 секундах ...
Ошибка HTTP 404: не найдено, повторная попытка в 12 секундах ...
404 Ошибка HTTP: не найдены

kcarectl --set-patch-type extra -update 'extra' тип патча выбран Загрузка обновлений HTTP-ошибка 404: не найдено, повторная попытка в 3 секундах ... Ошибка HTTP 404: не найдено, повторная попытка в 6 секундах ... Ошибка HTTP 404: не найдено, повторная попытка в 12 секундах ... Ошибка HTTP 404: не найдено

Это только для CentOS. CloudLinux OS не нуждается в этом патче, поскольку он уже включен в собственное ядро.

Это только для CentOS. CloudLinux OS не нуждается в этом патче, поскольку он уже включен в собственное ядро.

Итак, как мы можем отключить дополнительный патч, чтобы избежать 404 во всех обновлениях?

Итак, как мы можем отключить дополнительный патч, чтобы избежать 404 во всех обновлениях?

kcarectl --set-patch-type default

kcarectl --set-patch-type default

Я думаю, что эта информация должна быть более заметной - я искал, чтобы узнать, как, как клиент CloudLinux, нам нужно было установить это на наших серверах. Я предлагаю добавить строку к статье, в которой говорится, что она не нужна, если вы используете CloudLinux - это поможет многим пользователям.

Я думаю, что эта информация должна быть более заметной - я искал, чтобы узнать, как, как клиент CloudLinux, нам нужно было установить это на наших серверах. Я предлагаю добавить строку к статье, в которой говорится, что она не нужна, если вы используете CloudLinux - это поможет многим пользователям.

Спасибо за ваш отзыв! Мы ценим ваше уведомление и добавим эту информацию в статью.

Спасибо за ваш отзыв! Мы ценим ваше уведомление и добавим эту информацию в статью.

Потрясающие! Имейте в виду, что вам также необходимо включить set fs.symlinkown_gid, чтобы это работало правильно. Для серверов cPanel это будет fs.symlinkown_gid = 99

Потрясающие! Имейте в виду, что вам также необходимо включить set fs.symlinkown_gid, чтобы это работало правильно. Для серверов cPanel это будет fs.symlinkown_gid = 99

При запуске

# yum update kernelcare
Загруженные плагины: fastestmirror, rhnplugin
Настройка процесса обновления
Загрузка зеркальных скоростей из кэшированного файла хоста
* cpanel-addons-production-feed: 74.50.120.123
* cloudlinux-x86_64-сервер-6: xmlrpc.cln.cloudlinux.com
Пакеты, помеченные для обновления

# kcarectl --set-patch-type extra
Тип патча «extra» недоступен для текущего ядра

# uname -a
Linux xxx.xxx 2.6.32-673.26.1.lve1.4.18.el6.x86_64 #1 SMP Fri Oct 21 11: 58: 14 EDT 2016 x86_64 x86_64 x86_64 GNU / Linux

Что может быть неправильным?

При запуске этого # yum update kernelcare Загруженные плагины: fastestmirror, rhnplugin Настройка процесса обновления Загрузка зеркальных скоростей из кэшированного хост-файла * cpanel-addons-production-feed: 74.50.120.123 * cloudlinux-x86_64-server-6: xmlrpc.cln.cloudlinux.com Нет Пакеты, помеченные для обновления # kcarectl -set-patch-type extra 'extra', недоступны для текущего ядра # uname -a Linux xxx.xxx 2.6.32-673.26.1.lve1.4.18.el6.x86_64 #1 SMP Пт Oct 21 11: 58 : 14 EDT 2016 x86_64 x86_64 x86_64 GNU / Linux Что может быть неправильно?
Уже зарегистрирован? ВОЙТИ
гость
Четверг, 17 октября 2019

Защитный код изображение