Wéi schützt Dir schwéier a symbolesch Linken an CentOS/RHEL 7

Am Linux ginn haart a mëll Linken op Dateien referenzéiert, déi ganz wichteg sinn, wann net ganz gutt geschützt sinn, all Schwachstelle an hinnen kënne vu béiswëlleg System Benotzer oder Ugräifer exploitéiert ginn.

Eng gemeinsam Schwachstelle ass d'Symlink Race. Et ass eng Sécherheetsschwaachheet an der Software, déi entsteet wann e Programm onsécher Dateien erstellt (besonnesch temporär Dateien), an e béisaarteg System Benotzer kann e symbolesche (mëllen) Link op esou eng Datei erstellen.

Dëst geschitt praktesch; e Programm iwwerpréift ob eng temporär Datei existéiert oder net, am Fall wou et net ass, erstellt d'Datei. Awer an där kuerzer Zäit tëscht der Iwwerpréiwung vun der Datei an der Schafung kann en Ugräifer méiglecherweis e symbolesche Link op eng Datei erstellen an hien oder hatt ass net erlaabt Zougang.

Also wann de Programm mat gëltege Privilegien leeft, erstellt d'Datei mam selwechten Numm wéi dee vum Ugräifer erstallt ass, erstellt wuertwiertlech d'Zil- (verlinkt) Datei, déi den Ugräifer wollt zougräifen. Dëst, also, kéint den Ugräifer e Wee ginn fir sensibel Informatioun vum Root Kont ze klauen oder e béiswëlleg Programm um System auszeféieren.

Dofir, an dësem Artikel, wäerte mir Iech weisen wéi Dir schwéier a symbolesch Linke vu béiswëlleg Benotzer oder Hacker an CentOS/RHEL 7 Verdeelungen séchert.

Op CentOS/RHEL 7 existéiert eng vital Sécherheetsfunktioun déi nëmmen erlaabt Linken ze kreéieren oder vu Programmer ze verfollegen nëmmen wann e puer Konditioune erfëllt sinn wéi hei ënnendrënner beschriwwen.

Fir e System Benotzer e Link ze kreéieren, muss ee vun de folgende Konditiounen erfëllt sinn.

  • de Benotzer kann nëmmen op Dateien verlinken, déi hien oder hatt besëtzt.
  • de Benotzer muss als éischt Lies- a Schreifzougang zu engem Fichier hunn, op deen hien oder hatt verlinke wëll.

Prozesser sinn nëmmen erlaabt Linken ze verfollegen déi ausserhalb vun der Welt schreiwenbar sinn (aner Benotzer däerfen schreiwen) Verzeichnisser déi plakeg Bits hunn, oder ee vun de folgende muss richteg sinn.

  • de Prozess no dem symbolesche Link ass de Besëtzer vum symbolesche Link.
  • de Besëtzer vum Verzeichnis ass och de Besëtzer vum symbolesche Link.

Aktivéiert oder auszeschalten Schutz op haarden a symbolesche Linken

Wichteg, par défaut ass dës Feature aktivéiert mat de Kernelparameter an der Datei /usr/lib/sysctl.d/50-default.conf (Wäert vun 1 heescht aktivéieren).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Wéi och ëmmer, aus engem oder anere Grond, wann Dir dës Sécherheetsfeature auszeschalten wëllt; erstellt eng Datei mam Numm /etc/sysctl.d/51-no-protect-links.conf mat dëse Kerneloptiounen hei drënner (Wäert vun 0 heescht auszeschalten).

Notéiert datt 51 am Dateinumm (51-no-protect-links.conf), et muss no der Standarddatei gelies ginn fir d'Standardastellungen ze iwwerschreiden.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Späichert an zou der Datei. Benotzt dann de Kommando hei ënnen fir déi uewe genannte Verännerungen auszeféieren (dëse Kommando lued tatsächlech Astellunge vun all Systemkonfiguratiounsdatei).

# sysctl --system
OR
# sysctl -p  #on older systems

Dir kënnt och gären dës folgend Artikelen liesen.

  1. Wéi Passwuert schützt eng Vim Datei am Linux
  2. 5 'chattr' Kommandoen fir wichteg Dateien IMMUTABEL (Onverännerbar) am Linux ze maachen

Dat ass alles! Dir kënnt Är Ufroe posten oder all Gedanken iwwer dëst Thema iwwer de Feedbackformular hei drënner deelen.