Kuinka suojata kovat ja symboliset linkit CentOS/RHEL -ohjelmassa 7

Linuxissa koviin ja pehmeisiin linkkeihin viitataan tiedostoihin, jotka ovat erittäin tärkeitä, ellei niitä ole suojattu kovin hyvin, haitalliset järjestelmän käyttäjät tai hyökkääjät voivat hyödyntää niissä olevia haavoittuvuuksia.

Yleinen haavoittuvuus on symlink-kilpailu. Se on ohjelmistojen tietoturva-aukko, joka syntyy, kun ohjelma luo tiedostoja (etenkin väliaikaisia tiedostoja) turvattomasti, ja haitallinen järjestelmän käyttäjä voi luoda symbolisen (pehmeän) linkin tällaiseen tiedostoon.

Tämä tapahtuu käytännössä; Ohjelma tarkistaa, onko temp-tiedosto olemassa vai ei. Jos se ei ole, se luo tiedoston. Mutta siinä lyhyessä ajassa tiedoston tarkistamisen ja luomisen välillä hyökkääjä voi mahdollisesti luoda symbolisen linkin tiedostoon, eikä häntä saa käyttää.

Joten kun ohjelma toimii kelvollisilla käyttöoikeuksilla, se luo tiedoston samalla nimellä kuin hyökkääjän luoman tiedoston, se luo kirjaimellisesti kohdetiedoston (linkitetty), johon hyökkääjä aikoi päästä. Tämä voi siten antaa hyökkääjälle mahdollisuuden varastaa arkaluontoisia tietoja juuritililtä tai suorittaa haittaohjelma järjestelmässä.

Siksi tässä artikkelissa näytämme sinulle, kuinka suojata kova ja symbolinen linkki haitallisilta käyttäjiltä tai hakkereilta CentOS/RHEL 7 -jakelussa.

CentOS/RHEL 7: ssä on tärkeä turvaominaisuus, joka sallii ohjelmien luomisen tai seuraamisen linkkejä vain, jos jotkin ehdot täyttyvät jäljempänä kuvatulla tavalla.

Jotta järjestelmän käyttäjä voi luoda linkin, jonkin seuraavista ehdoista on täytettävä.

  • käyttäjä voi linkittää vain omistamiinsa tiedostoihin.
  • käyttäjällä on ensin oltava luku- ja kirjoitusoikeus tiedostoon, johon hän haluaa linkittää.

Prosessit saavat seurata vain sellaisia linkkejä, jotka eivät ole maailmassa kirjoitettavia (muut käyttäjät voivat kirjoittaa) hakemistoihin, joissa on tahmea bitti, tai jommankumman seuraavista on oltava totta.

  • symbolista linkkiä seuraava prosessi on symbolisen linkin omistaja.
  • hakemiston omistaja on myös symbolisen linkin omistaja.

Ota käyttöön tai poista suojaus kovalevyiltä ja symbolisilta linkeiltä

Tärkeää on, että tämä ominaisuus on oletusarvoisesti käytössä tiedostossa /usr/lib/sysctl.d/50-default.conf olevilla ytimen parametreilla (arvo 1 tarkoittaa käytössä).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Jos kuitenkin haluat jostakin syystä poistaa tämän suojausominaisuuden käytöstä; luo tiedosto /etc/sysctl.d/51-no-protect-links.conf näillä alla olevilla ytimen asetuksilla (arvo 0 tarkoittaa, että poistat käytöstä).

Huomaa, että 51 tiedostonimessä (51-no-protect-links.conf), se on luettava oletustiedoston jälkeen ohittamaan oletusasetukset.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Tallenna ja sulje tiedosto. Käytä sitten alla olevaa komentoa yllä olevien muutosten tekemiseen (tämä komento lataa asetukset jokaisesta järjestelmän kokoonpanotiedostosta).

# sysctl --system
OR
# sysctl -p  #on older systems

Haluat ehkä myös lukea nämä seuraavat artikkelit.

  1. Vim-tiedoston salasanasuojaus Linuxissa
  2. 5 'chattr' -komentoa tärkeiden tiedostojen muuttamiseksi muuttumattomiksi (muuttumattomia) Linuxissa

Siinä kaikki! Voit lähettää kyselysi tai jakaa aiheeseen liittyviä ajatuksia alla olevan palautelomakkeen kautta.