По мере обнаружения уязвимостей в системе безопасности, правильное программное обеспечение должно обновляться с целью ликвидации потенциальной угрозы. Если программа является частью пакета, включённого в состав поддерживаемой версии Red Hat Enterprise Linux, компания Red Hat, Inc. обязуется как можно скорее выпустить обновлённый пакет, ликвидирующий эту уязвимость. Часто сообщения о какой-либо уязвимости сразу сопровождаются заплаткой (или исходным кодом, решающим проблему). Затем эта заплатка применяется к пакету Red Hat Enterprise Linux, проверяется отделом контроля качества Red Hat, и выпускается в виде исправления ошибки. Однако если сообщение об ошибке не содержит заплатки, это означает, что разработчики Red Hat вместе с производителями программного продукта решают эту проблему. Когда проблема решена, пакет проверяется и выпускается исправление ошибки.
Если для программного продукта, используемого в вашей системе, выпущено исправление, настоятельно рекомендуется максимально быстро обновить связанные пакеты, чтобы сократить время уязвимости системы.
Обновляя в системе программные продукты, важно загружать эти обновления из доверенного источника. Злоумышленник может легко создать пакет с тем же номером версии, что и настоящий, исправляющий проблему, и, внедрив в него вредоносный код, опубликовать его в Интернете. Если это произойдёт, стандартными средствами, например, сравнивая файлы с оригинальными пакетами RPM, этот код найти не удастся. То есть, очень важно загружать пакеты только из доверенных источников, например, с сайта Red Hat, Inc. и проверять подпись пакета, чтобы убедиться в его целостности.
Red Hat предлагает получать исправления ошибок безопасности двумя способами:
Загружать их из сети Red Hat Network.
Загружать их с веб-сайта Red Hat Errata.
Red Hat Network позволяет почти полностью автоматизировать процесс обновления. Этот механизм определяет, какие пакеты RPM нужны для вашей системы, загружает их из защищённого хранилища, проверяет подпись пакетов, чтобы убедиться, что они не были повреждены, и обновляет их. Установка пакета может выполняться немедленно или может быть назначена на определённое время.
В Red Hat Network каждому обновляемому компьютеру нужен профиль системы. Профиль системы содержит сведения об аппаратном и программном обеспечении компьютера. Эта информация является закрытой и никому не передаётся. Она используется только для определения, какие исправления ошибок применимы к конкретной системе, без неё было бы невозможно определить, требуется ли обновление данной системы. Когда обнаруживается ошибка в системе безопасности (или любая другая), Red Hat Network отправляет почтовое сообщение с описанием ошибки и списком систем, в которых она наблюдается. Чтобы применить обновление, воспользуйтесь Агентом обновления Red Hat (Red Hat Update Agent) или назначьте обновление пакета на сайте http://rhn.redhat.com .
Подсказка
В Red Hat Enterprise Linux включён Red Hat Network Alert Notification Tool , удобный значок на панели, показывающий уведомления о выходе обновления системы Red Hat Enterprise Linux. Узнать об этом апплете больше вы сможете по адресу: http://rhn.redhat.com/help/basic/applet.html
Чтобы больше узнать о преимуществах Red Hat Network, обратитесь к Справочному руководству Red Hat Network , доступному по адресу http://www.redhat.com/docs/manuals/RHNetwork/ или посетите http://rhn.redhat.com .
Прежде чем устанавливать какие-либо обновления безопасности, обязательно прочитайте и выполните специальные указания, содержащиеся в отчёте об ошибке. За общими указаниями по выполнению изменений, связанных с обновлением, обратитесь к разделу 3.1.3 Применение изменений .
На странице с дополнительными сведениями описана уязвимость системы безопасности и приведены специальные инструкции, которые должны быть выполнены для ликвидации бреши в безопасности помимо обновления пакета.
Чтобы загрузить обновлённый пакет, щёлкните его имя и сохраните его на жёсткий диск. Настоятельно рекомендуется создать новый каталог, например, /tmp/updates , и сохранять все загружаемые пакеты в нём.
Все пакеты Red Hat Enterprise Linux подписываются ключом GPG компании Red Hat, Inc.. Утилита RPM, встроенная в Red Hat Enterprise Linux, автоматически пытается проверить подпись GPG RPM-пакета до установки. Если ключ GPG компании Red Hat, Inc. не установлен, импортируйте его с безопасного, статического источника, например, с компакт-диска установки Red Hat Enterprise Linux.
Если CD-ROM смонтирован в точку /mnt/cdrom , следующая команда добавит ключ в хранилище ключей:
rpm —import /mnt/cdrom/RPM-GPG-KEY
Чтобы просмотреть список всех ключей, используемых для проверки RPM, выполните следующую команду:
rpm -qa gpg-pubkey*
Ключ Red Hat, Inc. называется так:
Чтобы больше узнать о конкретном ключе, выполните команду rpm -qi , добавив в конце результат предыдущей команды, например:
rpm -qi gpg-pubkey-db42a60e-37ea5438
Крайне важно перед установкой файлов RPM проверять их подпись, чтобы убедиться в том, что это подлинные пакеты, выпущенные компанией Red Hat, Inc.. Чтобы проверить все загруженные пакеты сразу, выполните следующую команду:
rpm -K /tmp/updates/*.rpm
Если проверка ключа GPG проходит успешно, для каждого пакета эта команда сообщает gpg OK .
Проверив ключ GPG и загрузив все пакеты, связанные с сообщением об ошибке, установите эти пакеты под именем root в приглашении оболочки.
Это можно легко сделать для большинства пакетов (за исключением ядра), выполнив следующую команду:
rpm -Uvh /tmp/updates/*.rpm
Для пакетов ядра рекомендуется выполнять следующую команду:
rpm -ivh /tmp/updates/
Замените в этом примере названием RPM-пакета ядра.
Как только компьютер успешно загрузится с новым ядром, старое ядро можно удалить следующей командой:
Замените в этом примере
названием RPM-пакета старого ядра.
Замечание
Удалять старое ядро не обязательно.
Прежде чем устанавливать какие-либо обновления безопасности, обязательно прочитайте и выполните специальные указания, содержащиеся в отчёте об ошибке. За общими указаниями по выполнению изменений, связанных с обновлением, обратитесь к разделу 3.1.3 Применение изменений .
Загрузив и установив исправления системы безопасности через Red Hat Network или с сайта Red Hat Errata, важно прекратить использование старых программных продуктов и использовать только новые. Порядок такого перехода определяется типом обновляемого программного обеспечения. В следующем списке перечислены общие категории программного обеспечения и приведены инструкции по использованию новых версий после обновления пакета.
Замечание
Вообще говоря, самый безопасный способ убедиться в том, что используется последняя версия программного пакета — перезагрузить компьютер; однако системный администратор не всегда имеет такую возможность.
Приложения, работающие в среде пользователя — это любые программы, которые может запустить пользователь системы. Обычно такие приложения работают непродолжительное время, когда пользователь, сценарий или утилита автоматизации их запускают.
Обновив такое приложение, прекратите работу всех его экземпляров и запустите программу снова, чтобы использовать обновлённую версию.
Ядро — ключевой программный компонент операционной системы Red Hat Enterprise Linux. Оно управляет доступом к памяти, процессору и другому оборудованию, а также планирует выполнение задач.
Учитывая его ключевую роль, ядро нельзя перезапустить, не остановив вместе с ним всю систему. Таким образом, обновлённая версия ядра не может быть использована до перезагрузки.
Общие библиотеки — это блоки кода, например, glibc , используемые самыми разными приложениями и службами. Приложения, работающие с общими библиотеками, обычно загружают разделяемый код при запуске, поэтому все приложения, использующие обновлённую библиотеку, должны быть перезапущены.
Чтобы определить, какие приложения связаны с конкретной библиотекой, воспользуйтесь командой lsof , как показано ниже:
Эта команда возвращает список всех запущенных программ, использующих оболочки TCP для управления доступом к узлу. Таким образом, если обновляется пакет tcp_wrappers , все показанные программы должны быть остановлены и запущены вновь.
Службы SysV — это резидентные программы сервера, запускаемые при загрузке. В число служб SysV входят sshd , vsftpd и xinetd .
Так как эти программы обычно находятся в памяти всё время работы компьютера, после обновления пакета каждая обновлённая служба SysV должна быть перезапущена. Это можно сделать в утилите Настройка служб или зарегистрировавшись в приглашении оболочки от имени root и выполнив команду /sbin/service , как показано ниже:
Замените в этом примере именем службы, например sshd .
В главе Управление доступом к службам Руководства по системному администрированию Red Hat Enterprise Linux вы найдёте дополнительную информацию об утилите Настройка служб .
Эти службы управляются главной службой xinetd в момент установления активного соединения. В число служб, подчинённых xinetd , входят Telnet, IMAP и POP3.
Так как новые экземпляры этих служб загружаются демоном xinetd при поступлении каждого нового запроса, соединения, установленные после обновления, будут работать с новыми службами. Однако, если в момент обновления служб, управляемых xinetd , оставались активные соединения, они будут работать со старой версией служб.
Чтобы уничтожить старые экземпляры конкретной службы, управляемой xinetd , обновите пакет этой службы, затем определите все запущенные процессы, выполнив ps , и остановите их с помощью команды kill или killall .
Например, если выпущено обновление для пакетов imap , обновите эти пакеты, а затем выполните от имени root в приглашении оболочки:
ps -aux | grep imap
Эта команда покажет все активные сеансы IMAP. Сеансы можно уничтожать по одному, с помощью следующей команды:
в этом примере идентификационным номером процесса сеанса IMAP.
Чтобы уничтожить все сеансы IMAP, выполните следующую команду:
В главе Оболочки TCP и демон xinetd Справочного руководства по Red Hat Enterprise Linux вы найдёте общую информацию о xinetd .
Источник
Безопасность red hat linux
Добро пожаловать в Руководство по безопасности Red Hat Enterprise Linux !
Руководство по безопасности Red Hat Enterprise Linux призвано помочь пользователям Red Hat Enterprise Linux в освоении процессов и приёмов защиты рабочих станций и серверов от локальных и удалённых атак и других злонамеренных действий. В Руководстве по безопасности Red Hat Enterprise Linux подробно рассматривается планирование и использование средств формирования защищённой компьютерной среды для таких конфигураций, как хранилище данных, рабочее место и домашний компьютер. Хорошие знания в администрировании, усидчивость и умение применять подходящие средства — вот что нужно, чтобы система Red Hat Enterprise Linux была полностью функциональна и защищена от большинства стандартных атак.
В этом руководстве очень подробно рассматриваются следующие темы, связанные с безопасностью:
Защита критических служб
Виртуальные частные сети
Это руководство разделено на следующие части:
Общее введение в безопасность
Настройка безопасности Red Hat Enterprise Linux
Оценка собственной защиты
Реакция на вторжения и инциденты
Мы хотим поблагодарить Томаса Руда (Thomas Rude) за его вклад в создание этого руководства. Он написал главы Оценка уязвимостей и Реакция на инцидент . Спасибо, Томас!
В этом руководстве предполагается, что вы глубоко знаете Red Hat Enterprise Linux. Если вы новичок или не имеете глубоких познаний Red Hat Enterprise Linux и нуждаетесь в дополнительной информации о вашей системе, изучите следующие руководства, освещающие основные понятия Red Hat Enterprise Linux подробнее, чем Руководство по безопасности Red Hat Enterprise Linux :
Руководство по установке Red Hat Enterprise Linux , описывающее установку системы.
Введение в системное администрирование Red Hat Enterprise Linux , содержащее вводную информацию для начинающих системных администраторов Red Hat Enterprise Linux.
Руководство по системному администрированию Red Hat Enterprise Linux , посвящённое настройке Red Hat Enterprise Linux в соответствии с вашими потребностями как пользователя. В этом руководстве рассматриваются некоторые службы, обсуждаемые (с точки зрения безопасности) в Руководстве по безопасности Red Hat Enterprise Linux .
Справочное руководство по Red Hat Enterprise Linux , содержащее вместо пошаговых инструкций подробную информацию для более опытных пользователей.
Эти руководства в форматах HTML, PDF и RPM находятся на диске Red Hat Enterprise Linux Documentation и в Интернете по адресу http://www.redhat.com/docs/ .
Замечание
Хотя в этом руководстве, насколько это возможно, отражена самая последняя информация, обратитесь к Замечаниям к версии Red Hat Enterprise Linux за информацией, не доступной на момент выхода нашего руководства. Эти замечания можно найти на первом компакт-диске Red Hat Enterprise Linux или по адресу http://www.redhat.com/docs/ .
Если не отмечено обратное, вся информация, содержащаяся в этом руководстве, применима только к процессорам x86 и процессорам, реализующим технологии AMD64 и Intel ® Extended Memory 64 Technology ( Intel ® EM64T). За информацией, предназначенной для вашей архитектуры, обратитесь к Руководству по установке Red Hat Enterprise Linux .
Источник
Гигантские «дыры» в Linux вызывают крах системы и позволяют запускать любой код. Под угрозой Debian, Ubuntu, Red Hat
В ядре и системном менеджере (systemd) Linux найдены опасные уязвимости. Они позволяют вызвать крах системы и выполнить произвольный код. Одной из них скоро исполнится семь лет, а вторая отметила свое шестилетие.
«Дырявый» Linux
В Linux обнаружились две уязвимости, одна из которых затрагивает его ядро, а вторая – системный менеджер systemd. Их выявили специалисты по информационной безопасности компании Qualys.
Уязвимость, затрагивающая ядро Linux, получила идентификатор CVE-2021-33909. Если проэксплуатировать ее, то у пользователя появится возможность выполнить любой код с root-правами. Эксперты подчеркнули, проблема связана с неправильно обработкой длины имени файла.
Обнаружившие эту «дыру» специалисты Qualys смогли проэксплуатировать ее сразу в нескольких популярных дистрибутивах. Их затея увенчалась успехом в Debian 11, Fedora 34, Red Hat Enterprise Linux (RHEL) 6, 7 и 8. а также в Ubuntu версий 20.04, 20.10 и 21.04, то есть самых современных на момент публикации материала.
Эксперты отметили, что не проверяли работоспособность своих эксплойтов в других Linux-дистрибутивах. С их слов, они вполне могут заработать в любых других сборках Linux, так что группа риска не ограничивается лишь пользователями перечисленных ОС.
Уязвимость с историей
Специалисты Qualys приняли решение не публиковать полный код своих эксплойтов до тех пор, пока разработчики ядра и дистрибутивов не решат проблему с ней.
Пока что они выложили в свободный доступ прототип одного из своих эксплойтов. Запустить любой код с root-правами из-под учетки обычного пользователя при помощи него нельзя, а вот вызвать крах системы, наоборот, можно.
По утверждению представителей Qualys, данная проблема скоро отметит свое семилетие. Она присутствует в ядре Linux с 2014 г. Проэксплуатировать брешь можно даже в ядре версии 3.16, увидевшей свет в первых числах августа 2014 г.
Эксперты Qualys подготовили патч, устраняющий данную брешь в ядре Linux. 19 июля 2021 г. они скоординировали его с сообществом разработчиков, после чего он был принят в состав ядра.
На момент публикации материалов устраняющий «дыру» апдейт выпустили лишь разработчики дистрибутивов Arch, Debian, Fedora, RHEL, SUSE и Ubuntu. Когда то же сделают авторы других сборок, неизвестно.
Искать новые уязвимости при помощи старых
В процессе создания и тестирования эксплойтов для CVE-2021-33909 экплойтов специалисты Qualys неожиданно обнаружили в Linux еще одну «дыру». Но на этот раз не в ядре. Уязвимость нашлась в системном менеджере systemd. Ее эксплуатация может вызвать переполнение памяти стека, что вызывает крах всей системы.
Данная брешь имеет идентификатор CVE-2021-33910, как и в случае CVE-2021-33909, существует далеко не первый год. Со слов специалистов, впервые она проявилась еще в systemd версии 220, вышедшей в апреле 2015 г. Примечательно, что в systemd версии 248 (март 2021 г.) проэксплуатировать эту уязвимость нельзя, но лишь по причине кривого кода менеджера. Другими словами, эксклойт не заработает из-за ошибки в коде, которую исправили в systemd 249 (июль 2021 г.).
В настоящее время systemd избавлен от CVE-2021-33910 в Arch, Debian, Fedora, RHEL, SUSE и Ubuntu.
Большой опыт в поиске многолетних уязвимостей
Компания Qualys была основана в 1999 г. За 22 года своего существования она многократно находила в Linux и других системах уязвимости, существовавшие годами.
Например, в начале 2013 г. ее эксперты выловили брешь, позволявшую исполнять любой нужный хакерам код на веб-серверах, почтовых серверах и других серверных системах. Они обнаружили ее в библиотеке GNU C (glibc), в которой содержатся стандартные функции, используемые программами, написанными на языках C и C++.
Рассказать миру об уязвимости, промаркированной как CVE-2015-0235, Qualys решила лишь в конце января 2015 г., то есть спустя два года с момента ее обнаружения. Разработчикам Qualys поведала о ней без промедления, однако далее через два года большинство версий Linux, используемых в сервером оборудовании, так и не были обновлены.
По утверждению специалистов Qualys, CVE-2015-0235 появилась в Linux еще в 2000 г., когда вышла библиотека glibc версии 2.2. В список «дырявых» дистрибутивов Linux вошли Debian 7, CentOS 6 и 7? RHEL 6 и 7, а также Ubuntu 12.04.
