Kif Tħares Links Iebsin u Simboliċi f'CentOS/RHEL 7
Fil-Linux, links iebes u artab huma referenzjati għal fajls, li huma importanti ħafna, jekk mhux protetti tajjeb ħafna, kwalunkwe vulnerabbiltajiet fihom jistgħu jiġu sfruttati minn utenti jew attakkanti malizzjużi tas-sistema.
Vulnerabilità komuni hija r-razza tas-symlink. Hija vulnerabbiltà tas-sigurtà fis-softwer, li tiġri meta programm joħloq fajls b'mod mhux sigur (speċjalment fajls temporanji), u utent ta 'sistema malizzjuża jista' joħloq link simboliku (artab) għal tali fajl.
Dan huwa prattikament jiġri; programm jiċċekkja jekk fajl temp jeżistix jew le, f'każ li ma jkunx, joħloq il-fajl. Iżda f'dak il-perjodu qasir ta 'żmien bejn l-iċċekkjar tal-fajl u l-ħolqien tiegħu, attakkant jista' possibbilment joħloq rabta simbolika għal fajl u hu jew hi ma jkunx permess li jaċċessa.
Allura meta l-programm jaħdem bi privileġġi validi joħloq il-fajl bl-istess isem bħal dak maħluq mill-attakkant, litteralment joħloq il-fajl fil-mira (magħqud) li l-attakkant kien beħsiebu jaċċessa. Dan, għalhekk, jista 'jagħti lill-attakkant mod kif jisraq informazzjoni sensittiva mill-kont tal-għeruq jew jesegwixxi programm malizzjuż fuq is-sistema.
Għalhekk, f'dan l-artikolu, ser nuruk kif tiżgura links iebsa u simboliċi minn utenti jew hackers malizzjużi fid-distribuzzjonijiet CentOS/RHEL 7.
Fuq CentOS/RHEL 7 teżisti karatteristika ta 'sigurtà vitali li tippermetti biss li jinħolqu links jew jiġu segwiti minn programmi biss jekk xi kundizzjonijiet huma sodisfatti kif deskritt hawn taħt.
Biex utent tas-sistema joħloq link, trid tiġi sodisfatta waħda mill-kundizzjonijiet li ġejjin.
- l-utent jista' jgħaqqad biss ma' fajls li hu jew hi għandu.
- l-utent irid l-ewwel ikollu aċċess għall-qari u l-kitba għal fajl, li hu jew hi jrid jgħaqqad miegħu.
Il-proċessi huma permessi biss li jsegwu links li huma barra minn direttorji li jistgħu jinkitbu fid-dinja (utenti oħra huma permessi li jiktbu fuq) li għandhom bits li jwaħħlu, jew wieħed minn dawn li ġejjin irid ikun veru.
- il-proċess li jsegwi l-link simboliku huwa s-sid tal-link simboliku.
- is-sid tad-direttorju huwa wkoll is-sid tal-link simboliku.
Attiva jew Iddiżattiva Protezzjoni fuq Links Iebsin u Simboliċi
Importanti, b'mod awtomatiku, din il-karatteristika hija attivata bl-użu tal-parametri tal-kernel fil-fajl /usr/lib/sysctl.d/50-default.conf (valur ta '1 tfisser enable).
fs.protected_hardlinks = 1 fs.protected_symlinks = 1
Madankollu, għal raġuni jew oħra, jekk trid tiddiżattiva din il-karatteristika ta 'sigurtà; oħloq fajl imsejjaħ /etc/sysctl.d/51-no-protect-links.conf b'dawn l-għażliet tal-kernel hawn taħt (valur ta' 0 ifisser tiddiżattiva).
Ħu nota ta 'dak 51 fl-isem tal-fajl (51-no-protect-links.conf), għandu jinqara wara l-fajl default biex jegħleb is-settings default.
fs.protected_hardlinks = 0 fs.protected_symlinks = 0
Issejvja u agħlaq il-fajl. Imbagħad uża l-kmand t'hawn taħt biex taffettwa l-bidliet ta 'hawn fuq (dan il-kmand fil-fatt jgħabbi s-settings minn kull fajl ta' konfigurazzjoni tas-sistema).
# sysctl --system OR # sysctl -p #on older systems
Inti tista 'wkoll tixtieq taqra dawn l-artikoli li ġejjin.
- Kif tipproteġi fajl Vim bil-Password fil-Linux
- 5 Kmandi ‘chattr’ biex Jagħmel Fajls Importanti IMMUTABILI (Ma Jinbidlux) fil-Linux
Dak kollox! Tista' tpoġġi l-mistoqsijiet tiegħek jew taqsam xi ħsibijiet relatati ma' dan is-suġġett permezz tal-formola ta' feedback hawn taħt.