Kuidas kaitsta tugevaid ja sümboolseid linke rakenduses CentOS/RHEL 7

Linuxis viidatakse kõvadele ja pehmetele linkidele failidele, mis on väga olulised, kui need pole väga hästi kaitstud, võivad pahatahtlikud süsteemikasutajad või ründajad nende mis tahes nõrku kohti ära kasutada.

Levinud haavatavus on sümboli link. See on tarkvara turvanõrkus, mis tekib siis, kui programm loob ebaturvaliselt faile (eriti ajutisi faile), ja pahatahtlik süsteemikasutaja saab sellise faili jaoks luua sümboolse (pehme) lingi.

See praktiliselt juhtub; programm kontrollib, kas temp-fail on olemas või mitte, loob selle juhul, kui seda pole. Kuid selle lühikese aja jooksul faili kontrollimise ja loomise vahel võib ründaja luua failile sümboolse lingi ja tal pole lubatud sellele juurde pääseda.

Nii et kui programm töötab kehtivate õigustega, loob fail sama nimega kui ründaja loodud fail, loob see sõna otseses mõttes sihtfaili (lingitud), millele ründaja kavatses juurde pääseda. Seega võib see anda ründajale tee juurkontolt tundliku teabe varastamiseks või süsteemis pahatahtliku programmi käivitamiseks.

Seetõttu näitame selles artiklis, kuidas kaitsta CentOS/RHEL 7 distributsioonides pahatahtlike kasutajate või häkkerite karmid ja sümboolsed lingid.

CentOS/RHEL 7-l on olemas oluline turvaelement, mis lubab linke luua või programmidele järgneda ainult siis, kui mõned tingimused on täidetud, nagu allpool kirjeldatud.

Lingi loomiseks peab süsteemikasutaja täitma ühe järgmistest tingimustest.

  • kasutaja saab linkida ainult talle kuuluvatele failidele.
  • kasutajal peab kõigepealt olema lugemis- ja kirjutusjuurdepääs failile, mille ta soovib linkida.

Protsessidel on lubatud jälgida ainult linke, mis on väljaspool maailmas kirjutatavaid (teistele kasutajatele on lubatud kirjutada) katalooge, millel on kleepuvad bitid, või peab üks järgmistest olema tõene.

  • sümboolsele lingile järgnev protsess on sümboolse lingi omanik.
  • kataloogi omanik on ka sümboolse lingi omanik.

Lubage või keelake kaitse kõvade ja sümboolsete linkide korral

Oluline on see, et vaikimisi on see funktsioon lubatud faili /usr/lib/sysctl.d/50-default.conf kerneli parameetrite abil (väärtus 1 tähendab lubamist).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Kuid ühel või teisel põhjusel, kui soovite selle turvafunktsiooni keelata; looge fail allpool /etc/sysctl.d/51-no-protect-links.conf nende allpool toodud kerneli suvanditega (väärtus 0 tähendab keelamist).

Pange tähele, et 51 failinimes (51-no-protect-links.conf) peab seda vaikeseadete tühistamiseks pärast vaikefaili lugema.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Salvestage ja sulgege fail. Seejärel kasutage ülaltoodud muudatuste teostamiseks allolevat käsku (see käsk laadib tegelikult seaded kõigist süsteemi konfiguratsioonifailidest).

# sysctl --system
OR
# sysctl -p  #on older systems

Samuti võiksite lugeda neid järgmisi artikleid.

  1. Kuidas kaitsta Linuxi Vim-faili parooliga
  2. 5 käsku chattr, et muuta Linuxis olulised failid IMMUTABLE (muutmatuks)

See on kõik! Allpool oleva tagasisidevormi kaudu saate oma päringuid postitada või selle teemaga seotud mõtteid jagada.