KernelCare Linux 内核补丁服务是 CloudLinux 提供的系统。 该产品为许多 Linux 内核版本提供持续的安全补丁。 无需重新启动系统即可实时安装更新,这在运行活动服务器时是一个巨大的动力。 由于 CloudLinux 为运行 CentOS 6 和 7 的服务器提供免费的符号链接(symbolic link)保护补丁,Liquid Web 正在用这个免费版本替换现有的 KernelCare 版本。
符号链接保护
正如我们过去使用 KernelCare 的许多人所知,这项服务对于保护服务器免受关键或高优先级漏洞的影响至关重要。 即使您没有运行完整版的 KernelCare,这个关键补丁也可以保护运行 CentOS 6 或 CentOS 7 的服务器免受符号链接竞争攻击。 符号链接竞争攻击定义如下:
这种攻击利用符号链接(Symlinks)来写入敏感文件。 攻击者可以创建指向他们无法访问的目标文件的符号链接。 当特权程序尝试创建与 Symlink 链接同名的临时文件时,它实际上会写入攻击者的 Symlink 链接指向的目标文件。 如果攻击者可以在临时文件中插入恶意内容,他们将使用符号链接写入敏感文件。 发生争用是因为系统检查临时文件是否存在,然后创建该文件。 攻击者通常会在检查和创建临时文件之间的时间间隔内创建符号链接。
跨账户符号链接补丁有助于防止此类攻击。
安装免费的符号链接保护补丁
以下是有关如何安装 KernelCare 补丁以使用此免费服务的说明。 尽管符号链接保护补丁是 KernelCare 服务的一部分,但它不需要我们购买许可证或向 KernelCare 注册。 要启用免费符号链接保护,我们必须采取以下步骤。 首先,安装 KernelCare 客户端。
[email protected]:~# curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash注意:作为安全预防措施,无论来源如何,请始终在运行任何外部脚本之前检查它们。
接下来,通过执行以下命令启用免费补丁。 安装时,您应该会看到类似于以下信息的输出。
[email protected]:~# kcarectl --set-patch-type free --update OS: CentOS6 kernel: kernel-2.6.32-696.el6 time: 2017-06-22 16:13:40 uname: 2.6.32-642.15.1.el6 kpatch-name: 2.6.32/symlink-protection.patch kpatch-description: symlink protection // If you see this patch, it mean that you can enable symlink protection. kpatch-kernel: kernel-2.6.32-279.2.1.el6 kpatch-cve: N/A kpatch-cvss: N/A kpatch-cve-url: N/A kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/ kpatch-name: 2.6.32/symlink-protection.kpatch-1.patch kpatch-description: symlink protection (kpatch adaptation) kpatch-kernel: kernel-2.6.32-279.2.1.el6 kpatch-cve: N/A kpatch-cvss: N/A kpatch-cve-url: N/A kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/该软件将在下一次更新中应用更改。
现在,编辑 /etc/sysconfig/kcare/sysctl.conf 文件,或者如果它不存在,请创建它并添加以下行。
fs.enforce_symlinksifowner = 1 fs.symlinkown_gid = 48最后,运行以下命令。
[email protected]:~# sysctl -w fs.enforce_symlinksifowner=1 [email protected]:~# sysctl -w fs.symlinkown_gid=48注意:在典型的基于 RPM 的 Apache 安装, Apache 通常会在组标识符 (GID) 48 下运行。在 cPanel 服务器上, Apache 在用户 nobody 下运行,使用组标识符 (GID) 99。此外,此补丁仅包含符号链接保护。 它不包括 KernelCare 客户可用的内核安全修复程序。 未来的内核更新将需要安装,并且每次发布新的 CentOS 内核时都会重新启动服务器。
KernelCare 也可在 CentOS 8 上使用。用户可以在他们的网站上找到有关该产品的更多信息 网站.
升级 KernelCare
如果您希望从免费的符号链接保护补丁集升级到 KernelCare 的完整版本,请按照以下说明进行操作。
首先,回顾 定价页面 并购买一个 注册码. 如果您有一个现有的 CloudLinux 网络(或 CLN)帐户,您可以通过登录到您的 CLN 帐户。 拥有基于 IP 的许可证的当前用户不需要进一步交互。 如果您使用的是基于密钥的许可证,请运行以下命令。
[email protected]:~# /usr/bin/kcarectl --register KEY为确保成功应用补丁,请运行此命令。
[email protected]:~# /usr/bin/kcarectl --info该应用程序将每 4 小时自动监视一次新补丁。 要执行手动更新,请运行此命令。
[email protected]:~# /usr/bin/kcarectl --update注意:如上所述,现在默认包含免费补丁。 如果我们需要符号链接保护,我们需要应用额外的补丁。 其中包括符号链接保护,以及 CentOS 6 和 CentOS 7 的安全更新补丁。
要启用其他补丁并应用它们,请运行此命令。
[email protected]:~# kcarectl --set-patch-type extra --update要在不更新的情况下启用额外补丁,请运行以下命令。
[email protected]:~# kcarectl --set-patch-type extra该软件将在随后的自动更新中应用此额外补丁。 要查看补丁的详细信息,请运行以下命令。 在终端中,我们应该会看到与此类似的输出。
[email protected]:~# kcarectl --patch-info OS: centos6 kernel: kernel-2.6.32-696.6.3.el6 time: 2017-07-31 22:46:22 uname: 2.6.32-696.6.3.el6 ... kpatch-name: 2.6.32/symlink-protection.patch kpatch-description: symlink protection // If you see this patch, it means that you can enable symlink protection. kpatch-kernel: kernel-2.6.32-279.2.1.el6 kpatch-cve: N/A kpatch-cvss: N/A kpatch-cve-url: N/A kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/ ... kpatch-name: 2.6.32/symlink-protection.kpatch-1.patch kpatch-description: symlink protection (kpatch adaptation) kpatch-kernel: kernel-2.6.32-279.2.1.el6 kpatch-cve: N/A kpatch-cvss: N/A kpatch-cve-url: N/A kpatch-patch-url: https://gerrit.cloudlinux.com/#/c/16508/ ... kpatch-name: 2.6.32/ipset-fix-list-shrinking.patch kpatch-description: fix ipset list shrinking for no reason kpatch-kernel: N/A kpatch-cve: N/A kpatch-cvss:N/A kpatch-cve-url: N/A kpatch-patch-url: https://bugs.centos.org/view.php?id=13499 要启用符号链接所有者匹配保护,请将以下行添加到 /etc/sysconfig/kcare/sysctl.conf 文件中。 然后,请运行以下命令启用它。
[email protected]:~# sysctl -w fs.enforce_symlinksifowner=1有关更多信息,请参阅 CloudLinux 文档 详情。
结论
KernelCare 是确保服务器安全的绝佳方法。 使用其优化的系统,它不断应用安全更新和补丁,从而提高我们 Linux 服务器上系统的整体安全性。 如果您希望收到有关此产品的更多信息或有其他问题,我们的支持或解决方案团队可以提供更多信息来帮助您实施此解决方案。
我们的支持团队由才华横溢的 Linux 技术人员和系统管理员组成,他们对多种网络托管技术(尤其是本文中讨论的技术)有着深入的了解。 如果您拥有完全托管的 VPS 服务器, Cloud 专用,VMWare 私有 Cloud, 管理 Cloud 服务器或专用服务器,并且您对执行上述任何步骤感到不舒服,客户可以通过电话 800.580.4985 与我们联系,一个 聊天,或支持票以协助您完成此过程。
