Kaip nustatyti neprižiūrimus atnaujinimus Debian 9 (Stretch)
Naudojate kitą sistemą? Jei perkate Debian serverį, visada turėtumėte turėti naujausius saugos pataisymus ir naujinimus, nesvarbu, ar miegate, ar ne
Darbas su Linux galimybėmis
Įvadas
„Linux“ galimybės yra specialūs „Linux“ branduolio atributai, suteikiantys procesams ir dvejetainiams vykdomiesiems failams specifines privilegijas, kurios paprastai rezervuojamos procesams, kurių efektyvus vartotojo ID yra 0 (root naudotojas ir tik šakninis vartotojas turi UID 0).
Šiame straipsnyje bus paaiškintos kai kurios galimos galimybės, jų naudojimas ir kaip jas nustatyti bei pašalinti. Atkreipkite dėmesį, kad nustačius vykdomųjų failų galimybes, gali kilti pavojus jūsų sistemos saugumui. Todėl prieš diegdami gamybos galimybes turėtumėte apsvarstyti galimybę išbandyti ne gamybinę sistemą.
Būtinos sąlygos
- Linux sistema, kurioje turite root prieigą (per root naudotoją arba vartotoją, turintį sudo prieigą).
Paaiškinimas
Iš esmės galimybių tikslas yra padalyti „root“ galią į konkrečias privilegijas, kad išnaudojus procesą ar dvejetainį elementą, turintį vieną ar daugiau galimybių, galima žala būtų ribota, palyginti su tuo pačiu procesu, veikiančiu kaip root.
Galimybes galima nustatyti procesams ir vykdomiesiems failams. Procesas, atsirandantis vykdant failą, gali įgyti to failo galimybes.
„Linux“ įdiegtų galimybių yra daug ir daugelis jų buvo pridėtos nuo pirminio išleidimo. Kai kurie iš jų yra tokie:
CAP_CHOWN: pakeiskite failų vartotojo ID ir grupės IDCAP_DAC_OVERRIDE: nepaisyti DAC (diskrecinės prieigos kontrolės). Pavyzdžiui, vto apeina skaitymo/rašymo/vykdymo leidimų patikras.CAP_KILL: apeiti signalų siuntimo procesams leidimo patikras.CAP_SYS_NICE: Padidinkite procesų malonumą ( Gražumo paaiškinimą rasite čia )CAP_SYS_TIME: Nustatykite sistemos ir realaus laiko aparatūros laikrodį
Norėdami pamatyti visą sąrašą, paleiskite man 7 capabilities.
Galimybės priskiriamos rinkiniams, būtent „leistina“, „paveldima“, „efektyvi“ ir „aplinkos“ gijomis, o „leidžiama“, „paveldima“ ir „veiksminga“ failams. Šie rinkiniai apibrėžia skirtingą sudėtingą elgesį, jų išsamus paaiškinimas nepatenka į šio straipsnio taikymo sritį.
Kai faile nustatome galimybes, beveik visada naudosime „leidžiama“ ir „veiksminga“, pavyzdžiui, CAP_DAC_OVERRIDE+ep. Atkreipkite dėmesį į +ep, kuris žymi pirmiau minėtus rinkinius.
Darbas su failų galimybėmis
Reikalingi paketai
Yra du pagrindiniai įrankiai, getcapir setcapkuri gali atitinkamai peržiūrėti ir nustatyti šiuos atributus.
- „Debian“ ir „Ubuntu“ šiuos įrankius teikia
libcap2-binpaketas, kurį galima įdiegti kartu su:apt install libcap2-bin - „CentOS“ ir „Fedora“
libcappaketas reikalingas:yum install libcap - „Arch Linux“ juos taip pat teikia
libcap:pacman -S libcap
Skaitymo galimybės
Norėdami peržiūrėti, ar failas turi kokių nors galimybių, galite tiesiog paleisti getcap /full/path/to/binary, pavyzdžiui:
root@demo:~# getcap /usr/bin/ping
/usr/bin/ping = cap_net_raw+ep
root@demo:~# getcap /usr/bin/rcp
/usr/bin/rcp = cap_net_bind_service+ep
Jei norite sužinoti, kurios galimybės jau nustatytos jūsų sistemoje, galite rekursyviai ieškoti visoje failų sistemoje naudodami šią komandą:
getcap -r /
Dėl to, kad virtualios failų sistemos (pvz., /proc) nepalaiko šių operacijų, aukščiau pateikta komanda sukels tūkstančius klaidų, todėl norėdami gauti švaresnę išvestį, naudokite šiuos veiksmus:
getcap -r / 2>/dev/null
Galimybių priskyrimas ir pašalinimas
Norėdami nustatyti tam tikrą failo funkciją, naudokite setcap "capability_string" /path/to/file.
Norėdami pašalinti visas failo galimybes, naudokite setcap -r /path/to/file.
Norėdami parodyti, dabartiniame kataloge sukursime tuščią failą, suteiksime jam galimybę ir pašalinsime. Pradėkite nuo šių dalykų:
root@demo:~# touch testfile
root@demo:~# getcap testfile
Antroji komanda neduoda jokios išvesties, tai reiškia, kad šis failas neturi jokių galimybių.
Tada nustatykite failo galimybę:
root@demo:~# setcap "CAP_CHOWN+ep" testfile
root@demo:~# getcap testfile
testfile = cap_chown+ep
„CAP_CHOWN+ep“ buvo naudojamas kaip pavyzdys, bet bet kuris kitas gali būti priskirtas tokiu būdu.
Dabar pašalinkite visas galimybes iš testfile:
root@demo:~# setcap -r testfile
root@demo:~# getcap testfile
Vėlgi, išvesties nebus, nes „CAP_CHOWN+ep“ buvo pašalintas.
Išvada
Galimybės gali būti naudojamos daugybe galimybių ir gali padėti sustiprinti jūsų sistemų saugumą. Jei savo vykdomuosiuose failuose naudojate SUID bitą, apsvarstykite galimybę jį pakeisti konkrečia reikalinga funkcija.
Kaip įdiegti ir konfigūruoti PHP 7.0 arba PHP 7.1 Ubuntu 16.04
PHP ir susiję paketai yra dažniausiai naudojami komponentai diegiant žiniatinklio serverį. Šiame straipsnyje sužinosime, kaip nustatyti PHP 7.0 arba PHP 7.1 o
Nustatykite savo DNS serverį Debian / Ubuntu
Šiame vadove paaiškinama, kaip nustatyti DNS serverį naudojant Bind9 sistemoje Debian arba Ubuntu. Visame straipsnyje atitinkamai pakeiskite savo-domeno-vardas.com. Prie th
Nustatykite „Red5 Media Server“ Ubuntu 16.04
Naudojate kitą sistemą? „Red5“ yra atvirojo kodo medijos serveris, įdiegtas „Java“, leidžiantis paleisti „Flash“ kelių vartotojų programas, tokias kaip tiesioginis srautas.
Sukompiliuokite ir įdiekite „Nginx“ naudodami „PageSpeed“ modulį „Debian 8“.
Šiame straipsnyje pamatysime, kaip sukompiliuoti ir įdiegti pagrindinę Nginx liniją iš oficialių Nginx šaltinių naudojant PageSpeed modulį, kuris leidžia
Kaip įdiegti „Vanilla Forum“ Ubuntu 16.04
Naudojate kitą sistemą? Vanilla forumas yra atvirojo kodo forumo programa, parašyta PHP. Tai visiškai pritaikoma, paprasta naudoti ir palaiko išorinę
Kaip įdiegti „Kanboard“ Ubuntu 18.04 LTS
Naudojate kitą sistemą? Įvadas Kanboard yra nemokama atvirojo kodo projektų valdymo programinė įranga, skirta palengvinti ir vizualizuoti
Kaip įdiegti „Kanboard“ „Debian 9“.
Naudojate kitą sistemą? Įvadas Kanboard yra nemokama atvirojo kodo projektų valdymo programinė įranga, skirta palengvinti ir vizualizuoti
Kaip įdiegti Gitea Debian 9
Naudojate kitą sistemą? Gitea yra alternatyvi atvirojo kodo, savarankiškai priglobta versijų valdymo sistema, kurią maitina Git. Gitea parašyta golangu ir yra
Kaip įdiegti „Gitea“ Ubuntu 18.04
Naudojate kitą sistemą? Gitea yra alternatyvi atvirojo kodo, savarankiškai priglobta versijų valdymo sistema, kurią maitina git. Gitea parašyta golangu ir yra
Įdiekite „Lynis“ „Debian 8“.
Įvadas Lynis yra nemokama atvirojo kodo sistemos audito priemonė, kurią naudoja daugelis sistemų administratorių, kad patikrintų vientisumą ir sustiprintų savo sistemas. aš
Kaip įdiegti Thelia 2.3 Debian 9
Naudojate kitą sistemą? Thelia yra atvirojo kodo įrankis, skirtas kurti el. verslo svetaines ir valdyti PHP parašytą internetinį turinį. Thelia šaltinio kodas i
Kaip įdiegti „Microweber“ „CentOS 7“.
Naudojate kitą sistemą? „Microweber“ yra atvirojo kodo „drag and drop“ TVS ir internetinė parduotuvė. „Microweber“ šaltinio kodas yra „GitHub“. Šis vadovas jums parodys
„Microweber“ diegimas „Ubuntu 16.04“.
Naudojate kitą sistemą? „Microweber“ yra atvirojo kodo „drag and drop“ TVS ir internetinė parduotuvė. „Microweber“ šaltinio kodas yra „GitHub“. Šis vadovas jums parodys
Kaip įdiegti dotCMS Ubuntu 16.04
Naudojate kitą sistemą? DotCMS yra atvirojo kodo, įmonės lygio turinio valdymo sistema, parašyta Java. Jame yra beveik visos reikalingos funkcijos t
Kaip įdiegti „BigTree CMS“ Fedora 26 LAMP VPS
Naudojate kitą sistemą? BigTree CMS 4.2 yra greita ir lengva, nemokama ir atviro kodo, įmonės lygio turinio valdymo sistema (TVS), turinti platų
„Minecraft“ serverių tinklo sukūrimas naudojant „BungeeCord“ „Debian 8“, „Debian 9“ arba „CentOS 7“
Ko jums reikia Vultr VPS su mažiausiai 1 GB RAM. SSH prieiga (su root / administratoriaus teisėmis). 1 veiksmas: „BungeeCord“ diegimas Pirmiausia
„Docker CE“ diegimas „Ubuntu 16.04“.
Naudojate kitą sistemą? Docker yra programa, leidžianti diegti programas, kurios vykdomos kaip konteineriai. Tai buvo parašyta populiarioje Go programoje
Kaip įdiegti Golang 1.8.3 CentOS 7, Ubuntu 16.04 ir Debian 9
Golang yra programavimo kalba, kurią sukūrė Google. Dėl savo universalumo, paprastumo ir patikimumo Golangas tapo vienu populiariausių
„Dirty Cow Exploit“ pataisymas „CentOS“.
Kas yra purvina karvė (CVE-2016-5195)? „Dirty Cow“ pažeidžiamumas išnaudojamas „Linux“ apdorojant kodą. Tai leidžia neprivilegijuotam vartotojui gai
Mašinų augimas: AI pritaikymas realiame pasaulyje
Dirbtinis intelektas nėra ateityje, jis čia, dabartyje Šiame tinklaraštyje Skaitykite, kaip dirbtinio intelekto programos paveikė įvairius sektorius.
DDOS atakos: trumpa apžvalga
Ar taip pat esate DDOS atakų auka ir esate sumišęs dėl prevencijos metodų? Perskaitykite šį straipsnį, kad išspręstumėte savo užklausas.
Ar kada nors susimąstėte, kaip įsilaužėliai uždirba pinigų?
Galbūt girdėjote, kad įsilaužėliai uždirba daug pinigų, bet ar kada susimąstėte, kaip jie uždirba tokius pinigus? padiskutuokime.
Revoliuciniai „Google“ išradimai, kurie palengvins jūsų gyvenimą.
Ar norite pamatyti revoliucinius „Google“ išradimus ir kaip šie išradimai pakeitė kiekvieno žmogaus gyvenimą šiandien? Tada skaitykite tinklaraštį, kad pamatytumėte „Google“ išradimus.
Penktadienio esminiai dalykai: kas atsitiko AI varomiems automobiliams?
Savavaledžių automobilių koncepcija, kuri išvažiuotų į kelius su dirbtinio intelekto pagalba, yra svajonė, kurią jau kurį laiką svajojame. Tačiau nepaisant kelių pažadų, jų niekur nematyti. Skaitykite šį tinklaraštį, kad sužinotumėte daugiau…
Technologinis išskirtinumas: tolima žmogaus civilizacijos ateitis?
Kadangi mokslas sparčiai vystosi, perimdamas daug mūsų pastangų, taip pat didėja rizika, kad pateksime į nepaaiškinamą singuliarumą. Skaitykite, ką mums gali reikšti išskirtinumas.
Duomenų saugojimo raida – infografika
Duomenų saugojimo metodai gali būti tobulinami nuo pat Duomenų gimimo. Šiame tinklaraštyje, remiantis infografika, aprašoma duomenų saugojimo raida.
Didžiųjų duomenų atskaitos architektūros sluoksnių funkcijos
Skaitykite tinklaraštį, kad paprasčiausiai sužinotumėte apie skirtingus didžiųjų duomenų architektūros sluoksnius ir jų funkcijas.
6 nuostabūs išmaniųjų namų įrenginių privalumai
Šiame skaitmeniniu būdu pagrįstame pasaulyje išmanieji namų įrenginiai tapo svarbia gyvenimo dalimi. Štai keletas nuostabių išmaniųjų namų įrenginių privalumų, kaip jie daro mūsų gyvenimą vertą gyventi ir paprastesnį.
„macOS Catalina 10.15.4“ priedo atnaujinimas kelia daugiau problemų, nei sprendžia
Neseniai „Apple“ išleido „macOS Catalina 10.15.4“ priedą, skirtą problemoms išspręsti, tačiau atrodo, kad dėl atnaujinimo kyla daugiau problemų, dėl kurių „Mac“ įrenginiai blokuojami. Norėdami sužinoti daugiau, perskaitykite šį straipsnį