Sådan beskyttes hårde og symbolske links i CentOS/RHEL 7

I Linux henvises der til hårde og bløde links til filer, som er meget vigtige, hvis de ikke er beskyttet særlig godt, kan eventuelle sårbarheder i dem udnyttes af ondsindede systembrugere eller angribere.

En fælles sårbarhed er symlink-løbet. Det er en sikkerhedssårbarhed i software, der opstår, når et program usikkert opretter filer (især midlertidige filer), og en ondsindet systembruger kan oprette et symbolsk (blødt) link til en sådan fil.

Dette sker praktisk talt; et program kontrollerer, om der findes en midlertidig fil eller ej, hvis den ikke gør det, opretter den filen. Men i den korte periode mellem kontrol af filen og oprettelse af den, kan en angriber muligvis oprette et symbolsk link til en fil, og han eller hun har ikke adgang til.

Så når programmet kører med gyldige rettigheder, oprettes filen med det samme navn som den, der er oprettet af angriberen, opretter det bogstaveligt talt den målfil (linket til) filen, som angriberen havde til hensigt at få adgang til. Dette kan derfor give angriberen en sti til at stjæle følsomme oplysninger fra rodkontoen eller udføre et ondsindet program på systemet.

Derfor vil vi i denne artikel vise dig, hvordan du sikrer hårde og symbolske links fra ondsindede brugere eller hackere i CentOS/RHEL 7-distributioner.

På CentOS/RHEL 7 findes der en vigtig sikkerhedsfunktion, som kun tillader, at der oprettes eller følges links, hvis nogle betingelser er opfyldt som beskrevet nedenfor.

For at en systembruger kan oprette et link, skal en af følgende betingelser være opfyldt.

  • brugeren kan kun linke til filer, som han eller hun ejer.
  • brugeren skal først have læse- og skriveadgang til en fil, som han eller hun vil linke til.

Processer har kun tilladelse til at følge links, der er uden for verdensskrivelige (andre brugere har lov til at skrive til) kataloger, der har klæbrig bits, eller et af følgende skal være sandt.

  • processen efter det symbolske link er ejeren af det symbolske link.
  • ejeren af biblioteket er også ejeren af det symbolske link.

Aktiver eller deaktiver beskyttelse på hårde og symbolske links

Det er vigtigt, at denne funktion som standard er aktiveret ved hjælp af kerneparametrene i filen /usr/lib/sysctl.d/50-default.conf (værdien 1 betyder aktiv).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Men af den ene eller den anden grund, hvis du vil deaktivere denne sikkerhedsfunktion; Opret en fil kaldet /etc/sysctl.d/51-no-protect-links.conf med disse kerneindstillinger nedenfor (værdi 0 betyder deaktivering).

Bemærk, at 51 i filnavnet (51-no-protect-links.conf), det skal læses efter standardfilen for at tilsidesætte standardindstillingerne.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Gem og luk filen. Brug derefter kommandoen nedenfor til at gennemføre ovenstående ændringer (denne kommando indlæser faktisk indstillinger fra hver systemkonfigurationsfil).

# sysctl --system
OR
# sysctl -p  #on older systems

Du kan også godt lide at læse disse følgende artikler.

  1. Sådan passwordbeskyttes en Vim-fil i Linux
  2. 5 'chattr' kommandoer til at gøre vigtige filer IMMUTABLE (kan ikke ændres) i Linux

Det er alt! Du kan sende dine forespørgsler eller dele tanker om dette emne via feedbackformularen nedenfor.