GNU/Linux >> Znalost Linux >  >> Linux

Jak ochráním svůj systém proti zneužití TCP mimo cestu v Linuxu?

Podle LWN existuje zmírnění, které lze použít, když nemáte opravené jádro:

je k dispozici zmírnění ve formě tcp_challenge_ack_limit sysctl knoflík. Nastavení této hodnoty na něco obrovského (např. 999999999 ) bude pro útočníky mnohem obtížnější tuto chybu využít.

Měli byste to nastavit vytvořením souboru v /etc/sysctl.d a poté jej implementovat pomocí sysctl -a . Otevřete terminál (stiskněte Ctrl +Alt +T ) a spusťte:

sudo -i

echo "# CVE-2016-5696
net.ipv4.tcp_challenge_ack_limit = 999999999
" > /etc/sysctl.d/security.conf

sysctl -a
exit

Mimochodem, stav této zranitelnosti na Debianu můžete sledovat v nástroji pro sledování zabezpečení.


Tuto otázku jste označili jako debian, takže budu předpokládat, že používáte systém Debian založený na Linuxu.

Příslušný patch, který tuto chybu opravuje, je malý a relativně izolovaný, takže je hlavním kandidátem na zpětné portování.

Debian je obvykle docela dobrý, pokud jde o backportování oprav souvisejících se zabezpečením do verzí softwaru, které dodávají v podporovaných vydáních distribuce. Jejich seznam bezpečnostních upozornění pro rok 2016 v současnosti uvádí osm bezpečnostních upozornění týkajících se linuxového jádra (linux a linux-2.6 balíčky), nejnovější DSA-3616 ze 4. července. Oprava pro chybu, kterou zmiňujete, byla do stromu zdrojového kódu vložena o týden později, 11. července.

Bezpečnostní podporu pro Wheezy poskytuje tým LTS (Long-Term Support) do 31. května 2018 a Jessie v současné době dostává běžné bezpečnostní aktualizace, protože se jedná o aktuální verzi.

Očekával bych, že brzy bude provedena oprava zabezpečení proti podporovaným vydáním Debianu trpícím touto chybou.

Je také možné, že jádra dodávaná Debianem nejsou zranitelná. CVE dělá řekněme „před 4.7“, ale pochybuji, že toto prohlášení lze brát v doslovné nominální hodnotě; příslušný kód pravděpodobně nebyl zaveden v prvním veřejném vydání linuxového jádra (asi v roce 1991), takže musí logicky existovat verze jádra, které splňují kritéria, že jsou starší než verze 4.7, ale které nejsou zranitelné. Nezkontroloval jsem, zda se to týká jader dodávaných aktuálními vydáními Debianu.

Pokud používáte nepodporované vydání Debianu, které je zranitelné na tuto chybu, nebo pokud požadujete okamžitou opravu, možná budete muset tuto opravu ručně backportovat nebo upgradovat na novější verzi alespoň samotného jádra.


Linux

  1. Jak zkontrolovat verzi OS a Linuxu

  2. Jak můžete chránit svůj počítač?

  3. Zabezpečení Linuxu:Chraňte své systémy pomocí fail2ban

  1. Jak změnit identitu systému Linux

  2. Linux – Jak najít implementace systémových volání jádra Linuxu?

  3. Linux – jak často je systém souborů Proc aktualizován v systému Linux?

  1. Jak změnit název hostitele na Debian 10 Linux

  2. Jak používat bezpečnostní skener NMAP v systému Linux

  3. Linux – Jak zrušit nastavení proměnné prostředí „http_proxy“ v Pythonu?