KernelCare Linux 内核修补服务是 CloudLinux 提供的系统。 该产品为许多 Linux 内核版本提供持续的安全补丁。 无需重新启动系统即可实时安装更新,这在运行活动服务器时是一个巨大的激励。 由于 CloudLinux 为运行 CentOS 6 和 7 的服务器提供免费的符号链接(符号链接)保护补丁,Liquid Web 正在用这个免费版本替换现有版本的 KernelCare。
符号链接保护
正如我们许多过去使用过 KernelCare 的人所知道的那样,这项服务对于保护服务器免受关键或高优先级漏洞的影响至关重要。 即使您没有运行完整版本的 KernelCare,这个关键补丁也可以保护运行 CentOS 6 或 CentOS 7 的服务器免受符号链接竞争攻击。 符号链接竞争攻击定义如下:
此攻击利用符号链接 (Symlinks) 来写入敏感文件。 攻击者可以创建指向他们无法访问的目标文件的符号链接链接。 当特权程序试图创建一个与 Symlink 链接同名的临时文件时,它实际上会写入攻击者的 Symlink 链接指向的目标文件。 如果攻击者可以在临时文件中插入恶意内容,他们将使用符号链接写入敏感文件。 因为系统检查临时文件是否存在,然后创建该文件,所以发生争用。 攻击者通常会在检查和创建临时文件之间的时间间隔内创建符号链接。
跨账户符号链接补丁有助于防止此类攻击。
安装免费的符号链接保护补丁
以下是有关如何安装 KernelCare 补丁以使用此免费服务的说明。 虽然符号链接保护补丁是 KernelCare 服务的一部分,但它不需要我们购买许可证或注册 KernelCare。 要启用免费符号链接保护,我们必须采取以下步骤。 首先,安装 KernelCare 客户端。
root@host:~# curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash
注意:作为安全预防措施,无论来源如何,请始终在运行任何外部脚本之前对其进行检查。
接下来,通过执行以下命令启用免费补丁。 安装时,您应该会看到类似于以下信息的输出。
root@host:~# kcarectl --set-patch-type free --update
OS: CentOS6
kernel: kernel-2.6.32-696.el6
time: 2017-06-22 16:13:40
uname: 2.6.32-642.15.1.el6
kpatch-name: 2.6.32/symlink-protection.patch
kpatch-description: symlink protection // If you see this patch, it mean that you can enable symlink protection.
kpatch-kernel: kernel-2.6.32-279.2.1.el6
kpatch-cve: N/A
kpatch-cvss: N/A
kpatch-cve-url: N/A
kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/
kpatch-name: 2.6.32/symlink-protection.kpatch-1.patch
kpatch-description: symlink protection (kpatch adaptation)
kpatch-kernel: kernel-2.6.32-279.2.1.el6
kpatch-cve: N/A
kpatch-cvss: N/A
kpatch-cve-url: N/A
kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/
该软件将在下一次更新中应用更改。
现在,编辑 /etc/sysconfig/kcare/sysctl.conf 文件,或者如果它不存在,则创建它并添加以下行。
fs.enforce_symlinksifowner = 1
fs.symlinkown_gid = 48
最后,运行以下命令。
root@host:~# sysctl -w fs.enforce_symlinksifowner=1
root@host:~# sysctl -w fs.symlinkown_gid=48
注意:在典型的基于 RPM 的 Apache 安装, Apache 通常将在组标识符 (GID) 48 下运行。在 cPanel 服务器上, Apache 在用户nobody 下运行,使用组标识符(GID) 99。此外,此补丁仅包括符号链接保护。 它不包括 KernelCare 客户可用的内核安全修复程序。 将来需要安装内核更新,并且每次发布新的 CentOS 内核时服务器都会重新启动。
KernelCare 也可在 CentOS 8 上使用。用户可以在他们的网站上找到有关该产品的更多信息 网站.
如果您希望从免费的符号链接保护补丁集升级到 KernelCare 的完整版本,请按照以下说明进行操作。
首先,回顾 定价页面 并购买 注册码. 如果您有现有的 CloudLinux 网络(或 CLN)帐户,您可以通过登录您的 CLN 帐户。 拥有基于 IP 的许可证的当前用户无需进一步交互。 如果您使用的是基于密钥的许可证,请运行以下命令。
root@host:~# /usr/bin/kcarectl --register KEY
要确保成功应用补丁程序,请运行此命令。
root@host:~# /usr/bin/kcarectl --info
该应用程序将每 4 小时自动监视新补丁。 要执行手动更新,请运行此命令。
root@host:~# /usr/bin/kcarectl --update
注意:如上所述,现在默认包含免费补丁。 如果我们需要符号链接保护,我们需要应用额外的补丁。 其中包括符号链接保护,以及 CentOS 6 和 CentOS 7 的安全更新补丁。
要启用其他补丁并应用它们,请运行此命令。
root@host:~# kcarectl --set-patch-type extra --update
要在不更新的情况下启用额外的补丁,请运行以下命令。
root@host:~# kcarectl --set-patch-type extra
该软件将在随后的自动更新中应用这个额外的补丁。 要查看有关补丁的详细信息,请运行以下命令。 在终端中,我们应该会看到与此类似的输出。
root@host:~# kcarectl --patch-info
OS: centos6
kernel: kernel-2.6.32-696.6.3.el6
time: 2017-07-31 22:46:22
uname: 2.6.32-696.6.3.el6
...
kpatch-name: 2.6.32/symlink-protection.patch
kpatch-description: symlink protection // If you see this patch, it means that you can enable symlink protection.
kpatch-kernel: kernel-2.6.32-279.2.1.el6
kpatch-cve: N/A
kpatch-cvss: N/A
kpatch-cve-url: N/A
kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/
...
kpatch-name: 2.6.32/symlink-protection.kpatch-1.patch
kpatch-description: symlink protection (kpatch adaptation)
kpatch-kernel: kernel-2.6.32-279.2.1.el6
kpatch-cve: N/A
kpatch-cvss: N/A
kpatch-cve-url: N/A
kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/
...
kpatch-name: 2.6.32/ipset-fix-list-shrinking.patch
kpatch-description: fix ipset list shrinking for no reason
kpatch-kernel: N/A
kpatch-cve: N/A
kpatch-cvss:N/A
kpatch-cve-url: N/A
kpatch-patch-url: https://dtnqes.com/images/9/1652109944.png"},{"@type":"Article","@id":"https://dtnqes.com/article/481537#article","url":"https://dtnqes.com/article/481537","headline":"KernelCare 退休","datePublished":"2022-05-09T07:25:43+00:00","dateModified":"2022-05-09T07:25:48+00:00","wordCount":330,"keywords":["Apache","Centos","Install","Linux"],"articleSection":["article"],"isPartOf":{"@id":"https://dtnqes.com/article/481537#webpage"},"mainEntityOfPage":{"@id":"https://dtnqes.com/article/481537#webpage"},"image":{"@id":"https://dtnqes.com/article/481537#thumbnail"},"publisher":{"@id":"https://dtnqes.com/#organization"},"author":{"@id":"https://dtnqes.com/article/481537#author"}},{"@type":"Person","@id":"https://dtnqes.com/article/481537#author","url":"https://dtnqes.com/author/mzdya/","name":"mzdya","image":{"@id":"https://dtnqes.com/article/481537#author_image"}},{"@type":"ImageObject","@id":"https://dtnqes.com/article/481537#author_image","url":"https://secure.gravatar.com/avatar/aa1d5ea659c6e7cee3be89b7061bdff6?s=96&d=mm&r=g","width":96,"height":96,"caption":"mzdya"}]} Related Posts
如何在 Ubuntu 上创建自签名 SSL 证书