Cách bảo vệ server của bạn chống lại lỗ hổng Linux COW bẩn
Vào ngày 19 tháng 10 năm 2016, một lỗ hổng leo thang quyền trong nhân Linux đã được tiết lộ. Lỗi này có biệt danh là BÒ Bẩn vì vấn đề cơ bản là một tình trạng chạy đua trong cách kernel xử lý sao chép-ghi (COW). Dirty COW đã tồn tại trong một thời gian dài - ít nhất là từ năm 2007, với version kernel 2.6.22 - vì vậy đại đa số các server đều gặp rủi ro.Khai thác lỗi này nghĩa là regular user , không có quyền trên server của bạn có thể có quyền ghi vào các file nào họ có thể đọc và do đó có thể tăng quyền của họ trên hệ thống. Có thể tìm thêm thông tin về CVE-2016-5195 từ Canonical , Red Hat và Debian .
May mắn là hầu hết các bản phân phối lớn đã phát hành bản sửa lỗi. Tất cả các hình ảnh cơ sở trên DigitalOcean đã được cập nhật để bao gồm các version kernel được vá, vì vậy các server tương lai mà bạn tạo sẽ không cần phải cập nhật. Tuy nhiên, nếu bạn đang chạy một server cũ hơn, bạn có thể làm theo hướng dẫn này đảm bảo rằng bạn được bảo vệ.
Kiểm tra lỗ hổng bảo mật
Ubuntu / Debian
Để tìm hiểu xem server của bạn có bị ảnh hưởng hay không, hãy kiểm tra version kernel của bạn.
- uname -rv
Bạn sẽ thấy kết quả như thế này:
Output4.4.0-42-generic #62-Ubuntu SMP Fri Oct 7 23:11:45 UTC 2016
Nếu version của bạn cũ hơn version sau, bạn sẽ bị ảnh hưởng:
- 4.8.0-26.28 cho Ubuntu 16.10
- 4.4.0-45.66 dành cho Ubuntu 16.04 LTS
- 3.13.0-100.147 dành cho Ubuntu 14.04 LTS
- 3.2.0-113.155 dành cho Ubuntu 12.04 LTS
- 3.16.36-1 + deb8u2 cho Debian 8
- 3.2.82-1 dành cho Debian 7
- 4.7.8-1 cho Debian không ổn định
CentOS
Một số version của CentOS có thể sử dụng tập lệnh này do RedHat cung cấp cho RHEL để kiểm tra lỗ hổng của server của bạn. Để thử, trước tiên hãy download tập lệnh.
- wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh
Sau đó, chạy nó với bash
.
- bash rh-cve-2016-5195_1.sh
Nếu bạn dễ bị tấn công, bạn sẽ thấy kết quả như thế này:
OutputYour kernel is 3.10.0-327.36.1.el7.x86_64 which IS vulnerable. Red Hat recommends that you update your kernel. Alternatively, you can apply partial mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .
Sửa lỗ hổng bảo mật
May mắn là việc áp dụng bản sửa lỗi rất đơn giản: cập nhật hệ thống và khởi động lại server của bạn.
Trên Ubuntu và Debian, hãy nâng cấp các gói của bạn bằng apt-get
.
- sudo apt-get update && sudo apt-get dist-upgrade
Bạn có thể cập nhật tất cả các gói của bạn trên CentOS 5, 6 và 7 với sudo yum update
, nhưng nếu bạn chỉ muốn cập nhật kernel để giải quyết lỗi này, hãy chạy:
- sudo yum update kernel
Trên Server cũ hơn với quản lý nhân bên ngoài, bạn cũng cần chọn nhân DigitalOcean GrubLoader. Để thực hiện việc này, hãy chuyển đến control panel , nhấp vào server bạn muốn cập nhật. Sau đó, nhấp vào Kernel trong menu bên trái và chọn Kernel GrubLoader. Bạn có thể tìm hiểu thêm về cách cập nhật nhân của Server trong hướng dẫn quản lý nhân này . Các server mới hơn với quản lý nhân nội bộ có thể bỏ qua bước này.
Cuối cùng, trên tất cả các bản phân phối, bạn cần khởi động lại server của bạn để áp dụng các thay đổi.
- sudo reboot
Kết luận
Đảm bảo cập nhật server Linux của bạn để luôn được bảo vệ khỏi lỗi báo cáo quyền này.
Các tin liên quan
Cách cấu hình TRIM định kỳ cho bộ lưu trữ SSD trên server Linux2016-08-25
Cách bảo vệ server của bạn chống lại lỗ hổng HTTPoxy
2016-07-18
Cách phân vùng và định dạng thiết bị lưu trữ trong Linux
2016-07-13
Cách thực hiện các tác vụ quản trị cơ bản cho thiết bị lưu trữ trong Linux
2016-07-13
Giới thiệu về thuật ngữ và khái niệm lưu trữ trong Linux
2016-07-13
Cách cấu hình BIND làm server DNS Mạng riêng trên Ubuntu 16.04
2016-05-09
cách cấu hình bind làm server lưu trữ hoặc chuyển tiếp DNS trên Ubuntu 16.04
2016-05-02
Cách cài đặt và cấu hình Postfix làm server SMTP chỉ gửi trên Ubuntu 16.04
2016-04-29
Cách lưu trữ server chia sẻ tệp bằng Pydio trên Ubuntu 14.04
2016-04-29
Thiết lập server ban đầu với Ubuntu 16.04
2016-04-21