Kif Tħares Links Iebsin u Simboliċi f'CentOS/RHEL 7

Fil-Linux, links iebes u artab huma referenzjati għal fajls, li huma importanti ħafna, jekk mhux protetti tajjeb ħafna, kwalunkwe vulnerabbiltajiet fihom jistgħu jiġu sfruttati minn utenti jew attakkanti malizzjużi tas-sistema.

Vulnerabilità komuni hija r-razza tas-symlink. Hija vulnerabbiltà tas-sigurtà fis-softwer, li tiġri meta programm joħloq fajls b'mod mhux sigur (speċjalment fajls temporanji), u utent ta 'sistema malizzjuża jista' joħloq link simboliku (artab) għal tali fajl.

Dan huwa prattikament jiġri; programm jiċċekkja jekk fajl temp jeżistix jew le, f'każ li ma jkunx, joħloq il-fajl. Iżda f'dak il-perjodu qasir ta 'żmien bejn l-iċċekkjar tal-fajl u l-ħolqien tiegħu, attakkant jista' possibbilment joħloq rabta simbolika għal fajl u hu jew hi ma jkunx permess li jaċċessa.

Allura meta l-programm jaħdem bi privileġġi validi joħloq il-fajl bl-istess isem bħal dak maħluq mill-attakkant, litteralment joħloq il-fajl fil-mira (magħqud) li l-attakkant kien beħsiebu jaċċessa. Dan, għalhekk, jista 'jagħti lill-attakkant mod kif jisraq informazzjoni sensittiva mill-kont tal-għeruq jew jesegwixxi programm malizzjuż fuq is-sistema.

Għalhekk, f'dan l-artikolu, ser nuruk kif tiżgura links iebsa u simboliċi minn utenti jew hackers malizzjużi fid-distribuzzjonijiet CentOS/RHEL 7.

Fuq CentOS/RHEL 7 teżisti karatteristika ta 'sigurtà vitali li tippermetti biss li jinħolqu links jew jiġu segwiti minn programmi biss jekk xi kundizzjonijiet huma sodisfatti kif deskritt hawn taħt.

Biex utent tas-sistema joħloq link, trid tiġi sodisfatta waħda mill-kundizzjonijiet li ġejjin.

  • l-utent jista' jgħaqqad biss ma' fajls li hu jew hi għandu.
  • l-utent irid l-ewwel ikollu aċċess għall-qari u l-kitba għal fajl, li hu jew hi jrid jgħaqqad miegħu.

Il-proċessi huma permessi biss li jsegwu links li huma barra minn direttorji li jistgħu jinkitbu fid-dinja (utenti oħra huma permessi li jiktbu fuq) li għandhom bits li jwaħħlu, jew wieħed minn dawn li ġejjin irid ikun veru.

  • il-proċess li jsegwi l-link simboliku huwa s-sid tal-link simboliku.
  • is-sid tad-direttorju huwa wkoll is-sid tal-link simboliku.

Attiva jew Iddiżattiva Protezzjoni fuq Links Iebsin u Simboliċi

Importanti, b'mod awtomatiku, din il-karatteristika hija attivata bl-użu tal-parametri tal-kernel fil-fajl /usr/lib/sysctl.d/50-default.conf (valur ta '1 tfisser enable).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Madankollu, għal raġuni jew oħra, jekk trid tiddiżattiva din il-karatteristika ta 'sigurtà; oħloq fajl imsejjaħ /etc/sysctl.d/51-no-protect-links.conf b'dawn l-għażliet tal-kernel hawn taħt (valur ta' 0 ifisser tiddiżattiva).

Ħu nota ta 'dak 51 fl-isem tal-fajl (51-no-protect-links.conf), għandu jinqara wara l-fajl default biex jegħleb is-settings default.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Issejvja u agħlaq il-fajl. Imbagħad uża l-kmand t'hawn taħt biex taffettwa l-bidliet ta 'hawn fuq (dan il-kmand fil-fatt jgħabbi s-settings minn kull fajl ta' konfigurazzjoni tas-sistema).

# sysctl --system
OR
# sysctl -p  #on older systems

Inti tista 'wkoll tixtieq taqra dawn l-artikoli li ġejjin.

  1. Kif tipproteġi fajl Vim bil-Password fil-Linux
  2. 5 Kmandi ‘chattr’ biex Jagħmel Fajls Importanti IMMUTABILI (Ma Jinbidlux) fil-Linux

Dak kollox! Tista' tpoġġi l-mistoqsijiet tiegħek jew taqsam xi ħsibijiet relatati ma' dan is-suġġett permezz tal-formola ta' feedback hawn taħt.