Kā aizsargāt cietās un simboliskās saites CentOS/RHEL 7

Operētājsistēmā Linux cietās un mīkstās saites ir atsauces uz failiem, kas ir ļoti svarīgi, ja arī tie nav ļoti labi aizsargāti, ļaunprātīgas sistēmas lietotāji vai uzbrucēji var izmantot visas tajos esošās vājās vietas.

Bieža ievainojamība ir simlink saites. Tā ir programmatūras drošības ievainojamība, kas rodas, ja programma nedroši izveido failus (īpaši pagaidu failus), un ļaunprātīgs sistēmas lietotājs var izveidot simbolisku (mīkstu) saiti uz šādu failu.

Tas praktiski notiek; programma pārbauda, vai ir pagaidu fails, vai nav, ja tā nav, tā izveido failu. Bet šajā īsajā laika posmā starp faila pārbaudi un izveidošanu uzbrucējs, iespējams, var izveidot simbolisku saiti uz failu, un viņam vai viņai nav atļauts piekļūt.

Tātad, kad programma darbojas ar derīgām privilēģijām, fails tiek izveidots ar tādu pašu nosaukumu kā uzbrucēja izveidotais, tas burtiski izveido mērķa (saistītu) failu, kuram uzbrucējs bija iecerējis piekļūt. Tādējādi tas varētu dot uzbrucējam ceļu, kā nozagt sensitīvu informāciju no saknes konta vai izpildīt sistēmā ļaunprātīgu programmu.

Tāpēc šajā rakstā mēs parādīsim, kā nodrošināt cietas un simboliskas saites no ļaunprātīgiem lietotājiem vai hakeriem CentOS/RHEL 7 izplatījumos.

Vietnē CentOS/RHEL 7 ir būtiska drošības pazīme, kas ļauj saites izveidot vai sekot programmām tikai tad, ja ir izpildīti daži nosacījumi, kā aprakstīts tālāk.

Lai sistēmas lietotājs izveidotu saiti, ir jāizpilda viens no šiem nosacījumiem.

  • lietotājs var saistīt tikai ar failiem, kas viņam pieder.
  • vispirms lietotājam jābūt lasīšanas un rakstīšanas piekļuvei failam, kuru viņš vai viņa vēlas saistīt.

Procesiem ir atļauts sekot tikai saitēm, kuras ir ārpus pasaulē rakstāmiem (citiem lietotājiem ir atļauts rakstīt) direktorijiem, kuriem ir lipīgi biti, vai arī kādam no šiem jābūt patiesiem.

  • process, kas seko simboliskajai saitei, ir simboliskās saites īpašnieks.
  • direktorija īpašnieks ir arī simboliskās saites īpašnieks.

Iespējot vai atspējot cieto un simbolisko saišu aizsardzību

Svarīgi ir tas, ka pēc noklusējuma šī funkcija ir iespējota, izmantojot kodola parametrus failā /usr/lib/sysctl.d/50-default.conf (1 vērtība nozīmē iespējot).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Tomēr viena vai otra iemesla dēļ, ja vēlaties atspējot šo drošības funkciju; izveidojiet failu ar nosaukumu /etc/sysctl.d/51-no-protect-links.conf, izmantojot tālāk norādītās kodola opcijas (0 vērtība nozīmē atspējot).

Ņemiet vērā to, ka 51 faila nosaukumā (51-no-protect-links.conf) ir jānolasa pēc noklusējuma faila, lai ignorētu noklusējuma iestatījumus.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Saglabājiet un aizveriet failu. Pēc tam izmantojiet zemāk esošo komandu, lai veiktu iepriekš minētās izmaiņas (šī komanda faktiski ielādē iestatījumus no katra sistēmas konfigurācijas faila).

# sysctl --system
OR
# sysctl -p  #on older systems

Jūs varētu vēlēties arī izlasīt šos rakstus.

  1. Kā aizsargāt Vim failu Linux ar paroli
  2. 5 komandas “chattr”, lai Linux sistēmā svarīgus failus padarītu nemaināmus (nemaināmus)

Tas ir viss! Izmantojot tālāk sniegto atsauksmju veidlapu, varat publicēt savus jautājumus vai dalīties domās par šo tēmu.