CentOS/RHEL 7-de gaty we simwoliki baglanyşyklary nädip goramaly
Linux-da gaty we ýumşak baglanyşyklar faýllara salgylanýar, gaty möhüm, gaty gowy goralmasa, içindäki gowşak goralanlyklary zyýanly ulgam ulanyjylary ýa-da hüjümçileri ulanyp bilerler.
Umumy gowşaklyk, baglanyşyk ýaryşydyr. Programma üpjünçiligi faýllary (esasanam wagtlaýyn faýllary) ygtybarly döredeninde ýüze çykýar we zyýanly ulgam ulanyjysy şeýle faýla simwoliki (ýumşak) baglanyşyk döredip biler.
Bu diýen ýaly bolup geçýär; bir programma temp faýlynyň bardygyny ýa-da ýokdugyny barlaýar, ýok bolsa faýly döredýär. Emma faýly barlamak bilen ony döretmek arasynda gysga wagtyň içinde hüjümçi bir faýla simwoliki baglanyşyk döredip biler we oňa girmäge rugsat berilmez.
Şeýlelik bilen programma ygtybarly hukuklar bilen işlese, hüjümçiniň döreden ady bilen bir faýly döredeninde, hüjümçiniň girmek isleýän nyşany (baglanyşdyrylan) faýly döredilýär. Şonuň üçin bu hüjümçä kök hasabyndan duýgur maglumatlary ogurlamak ýa-da ulgamda zyýanly programma ýerine ýetirmek üçin ýol berip biler.
Şonuň üçin bu makalada size CentOS/RHEL 7 paýlamalarynda zyýanly ulanyjylardan ýa-da hakerlerden gaty we simwoliki baglanyşyklary nädip goramalydygyny görkezeris.
CentOS/RHEL 7-de diňe aşakda görkezilişi ýaly käbir şertler kanagatlandyrylan ýagdaýynda baglanyşyklaryň döredilmegine ýa-da programmalaryň ýerine ýetirilmegine rugsat berýän möhüm howpsuzlyk aýratynlygy bar.
Ulgam ulanyjysynyň baglanyşyk döretmek üçin aşakdaky şertleriň biri ýerine ýetirilmeli.
- ulanyjy diňe özüne degişli faýllara baglanyp biler.
- ulanyjy ilki bilen baglanyşmak isleýän bir faýlyna girişi okan we ýazan bolmaly.
Amallara diňe dünýäde ýazylyp bilinýän (beýleki ulanyjylara ýazmaga rugsat berilýär) ýapyk bitli kataloglardan ýa-da aşakdakylaryň biri dogry bolmaly baglanyşyklara eýermäge rugsat berilýär.
- simwoliki baglanyşykdan soňky proses simwoliki baglanyşygyň eýesidir.
- katalogyň eýesi hem simwoliki baglanyşygyň eýesidir.
Gaty we simwoliki baglanyşyklarda goragy işjeňleşdiriň ýa-da öçüriň
Möhüm zat, adaty ýagdaýda bu aýratynlyk /usr/lib/sysctl.d/50-default.conf faýlyndaky ýadro parametrlerini ulanyp işledilýär (1-iň bahasy işjeňleşdirmegi aňladýar).
fs.protected_hardlinks = 1 fs.protected_symlinks = 1
Şeýle-de bolsa, bu howpsuzlyk aýratynlygyny öçürmek isleseňiz, bir sebäbe görä; aşakdaky ýadro opsiýalary bilen /etc/sysctl.d/51-no-protect-links.conf atly bir faýl dörediň (0-nyň bahasy ýapmagy aňladýar).
Faýlyň adyndaky 51-e üns beriň (51-no-protect-links.conf), deslapky sazlamalary ýok etmek üçin deslapky faýldan soň okalmaly.
fs.protected_hardlinks = 0 fs.protected_symlinks = 0
Faýly ýazdyryň we ýapyň. Soňra ýokardaky üýtgeşmeleri ýerine ýetirmek üçin aşakdaky buýrugy ulanyň (bu buýruk aslynda her ulgam konfigurasiýa faýlyndan sazlamalary ýükleýär).
# sysctl --system OR # sysctl -p #on older systems
Şeýle hem şu aşakdaky makalalary okamak isläp bilersiňiz.
- Linux-da Vim faýly paroly nädip goramaly
- Linux-da möhüm faýllary IMMUTABLE (üýtgemeýän) etmek üçin 5 chattr buýrugy
Bu hemmesi! Talaplaryňyzy aşakdaky seslenme formasy arkaly iberip ýa-da bu mowzuga degişli pikirleri paýlaşyp bilersiňiz.