Jinsi ya Kulinda Viungo Vigumu na vya Alama katika CentOS/RHEL 7

Katika Linux, viungo ngumu na laini vinarejelewa kwa faili, ambazo ni muhimu sana, ikiwa hazijalindwa vizuri sana, udhaifu wowote ndani yao unaweza kutumiwa na watumiaji wa mfumo mbaya au washambuliaji.

Athari ya kawaida ni mbio za ulinganifu. Ni hatari ya kiusalama katika programu, ambayo hutokea wakati programu inaunda faili bila usalama (haswa faili za muda), na mtumiaji wa mfumo hasidi anaweza kuunda kiunga cha ishara (laini) kwa faili kama hiyo.

Hii ni kivitendo hutokea; programu huangalia ikiwa faili ya temp iko au la, ikiwa haipo, inaunda faili. Lakini katika kipindi hicho kifupi kati ya kukagua faili na kuiunda, mshambulizi anaweza kuunda kiunga cha mfano kwa faili na haruhusiwi kufikia.

Kwa hivyo wakati programu inaendeshwa na upendeleo halali huunda faili iliyo na jina sawa na ile iliyoundwa na mshambuliaji, inaunda faili inayolengwa (iliyounganishwa-kwa) ambayo mshambuliaji alikuwa anakusudia kufikia. Kwa hivyo, hii inaweza kumpa mvamizi njia ya kuiba taarifa nyeti kutoka kwa akaunti ya msingi au kutekeleza programu hasidi kwenye mfumo.

Kwa hivyo, katika nakala hii, tutakuonyesha jinsi ya kupata viungo ngumu na vya mfano kutoka kwa watumiaji hasidi au wadukuzi katika usambazaji wa CentOS/RHEL 7.

Kwenye CentOS/RHEL 7 kuna kipengele muhimu cha usalama ambacho huruhusu tu viungo kuundwa au kufuatwa na programu ikiwa tu baadhi ya masharti yatatimizwa kama ilivyoelezwa hapa chini.

Ili mtumiaji wa mfumo atengeneze kiungo, mojawapo ya masharti yafuatayo lazima yatimizwe.

  • mtumiaji anaweza tu kuunganisha kwa faili ambazo anamiliki.
  • mtumiaji lazima kwanza awe na idhini ya kusoma na kuandika kwa faili, ambayo anataka kuunganisha kwayo.

Mchakato unaruhusiwa tu kufuata viungo ambavyo viko nje ya maandishi ya ulimwengu (watumiaji wengine wanaruhusiwa kuandikia) saraka ambazo zina sehemu zinazonata, au mojawapo ya zifuatazo lazima ziwe kweli.

  • mchakato unaofuata kiungo cha ishara ndiye mmiliki wa kiungo cha ishara.
  • mmiliki wa saraka pia ndiye mmiliki wa kiungo cha ishara.

Washa au Lemaza Ulinzi kwenye Viungo Vigumu na vya Alama

Muhimu, kwa chaguo-msingi, kipengele hiki kimewezeshwa kwa kutumia vigezo vya kernel katika faili /usr/lib/sysctl.d/50-default.conf (thamani ya njia 1 wezesha).

fs.protected_hardlinks = 1
fs.protected_symlinks = 1

Hata hivyo, kwa sababu moja au nyingine, ikiwa unataka kuzima kipengele hiki cha usalama; unda faili inayoitwa /etc/sysctl.d/51-no-protect-links.conf na chaguo hizi za kernel hapa chini (thamani ya 0 inamaanisha kuzima).

Zingatia hiyo 51 katika jina la faili (51-no-protect-links.conf), inabidi isomwe baada ya faili chaguo-msingi ili kubatilisha mipangilio chaguo-msingi.

fs.protected_hardlinks = 0
fs.protected_symlinks = 0

Hifadhi na funga faili. Kisha tumia amri iliyo hapa chini kutekeleza mabadiliko hapo juu (amri hii hupakia mipangilio kutoka kwa kila faili ya usanidi wa mfumo).

# sysctl --system
OR
# sysctl -p  #on older systems

Unaweza pia kupenda kusoma makala hizi zifuatazo.

  1. Jinsi ya Kulinda Nenosiri la Vim kwenye Linux
  2. Amri 5 za ‘chattr’ za Kufanya Faili Muhimu ZIWEZE KUWEZA KUWEZA (Zisizobadilika) katika Linux

Ni hayo tu! Unaweza kuchapisha maswali yako au kushiriki mawazo yoyote yanayohusiana na mada hii kupitia fomu ya maoni iliyo hapa chini.