Slik beskytter du harde og symbolske lenker i CentOS/RHEL 7


I Linux refereres harde og myke lenker til filer, som er svært viktige, hvis de ikke beskyttes veldig godt, kan eventuelle sårbarheter i dem utnyttes av ondsinnede systembrukere eller angripere.

En vanlig sårbarhet er symlink race. Det er en sikkerhetssårbarhet i programvare som oppstår når et program på en usikker måte oppretter filer (spesielt midlertidige filer), og en ondsinnet systembruker kan lage en symbolsk (myk) lenke til en slik fil.

Les også: Hvordan lage hard og symbolsk kobling i Linux

Dette skjer praktisk talt; et program sjekker om en midlertidig fil eksisterer eller ikke, i tilfelle den ikke gjør det, oppretter det filen. Men i løpet av den korte perioden mellom å sjekke filen og opprette den, kan en angriper muligens lage en symbolsk lenke til en fil, og han eller hun har ikke tilgang til den.

Så når programmet kjører med gyldige rettigheter oppretter filen med samme navn som den som ble opprettet av angriperen, oppretter den bokstavelig talt målfilen (lenket til) angriperen hadde til hensikt å få tilgang til. Dette kan derfor gi angriperen en vei til å stjele sensitiv informasjon fra root-kontoen eller kjøre et ondsinnet program på systemet.

Derfor vil vi i denne artikkelen vise deg hvordan du sikrer harde og symbolske lenker fra ondsinnede brukere eller hackere i CentOS/RHEL 7-distribusjoner.

CentOS/RHEL 7 eksisterer en viktig sikkerhetsfunksjon som bare tillater at koblinger opprettes eller følges av programmer bare hvis noen betingelser er oppfylt som beskrevet nedenfor.

For harde lenker

For at en systembruker skal opprette en kobling, må ett av følgende vilkår være oppfylt.

  • brukeren kan bare koble til filer som han eller hun eier.
  • brukeren må først ha lese- og skrivetilgang til en fil som han eller hun ønsker å koble til.

For symbolske lenker

Prosesser er bare tillatt å følge lenker som er utenfor verden-skrivbare (andre brukere har lov til å skrive til) kataloger som har klebrige biter, eller ett av følgende må være sant.

  • prosessen etter den symbolske lenken er eieren av den symbolske lenken.
  • eieren av katalogen er også eieren av den symbolske lenken.

Aktiver eller deaktiver beskyttelse på harde og symbolske lenker

Viktigere, som standard er denne funksjonen aktivert ved å bruke kjerneparameterne i filen /usr/lib/sysctl.d/50-default.conf (verdi på 1 betyr aktivert ).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Men av en eller annen grunn, hvis du ønsker å deaktivere denne sikkerhetsfunksjonen; lag en fil kalt /etc/sysctl.d/51-no-protect-links.conf med disse kjernealternativene nedenfor (verdien 0 betyr deaktivering).

Legg merke til at 51 i filnavnet (51-no-protect-links.conf), det må leses etter standardfilen for å overstyre standardinnstillingene.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Lagre og lukk filen. Bruk deretter kommandoen nedenfor for å utføre endringene ovenfor (denne kommandoen laster faktisk inn innstillinger fra hver eneste systemkonfigurasjonsfil).

sysctl --system
OR
sysctl -p  #on older systems

Du vil kanskje også lese disse følgende artiklene.

  1. Hvordan passordbeskytte en Vim-fil i Linux
  2. 5 'chattr'-kommandoer for å gjøre viktige filer UMENDBARE (uforanderlige) i Linux

Det er alt! Du kan legge inn spørsmål eller dele tanker knyttet til dette emnet via tilbakemeldingsskjemaet nedenfor.