脏牛(Dirty COW,编号:CVE-2016-5195)是2016年10月18日被曝出的存在于Linux内核中的一款0day漏洞。因为此漏洞是在Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时发生的,而又给Linux内核的使用带来烦恼,所以将其命名为“Dirty COW”。
Linux文件权限的更改: -Linux系统中的每个文件和目录都有访问许可权限,用它来确定谁可以通过何种方式对文件和目录进行访问和操作。 -文件或目录的访问权限分为只读(r),只写(w)和可执行(x)三种。 -有三种不同类型的用户可对文件或目录进行访问:文件所有者(u),同组用户(g)、其他用户(o)。 基本权限: chmod u=rwx,g=rwx,o=rwx /目录 (给目录的属主,属组和其他用户所有权限) chmod u+r(u-r/g+w/o-r...) /目录 (给目录的属主只读权限
漏洞编号: CVE-2016-5195 漏洞名称: 脏牛(Dirty COW) 漏洞危害: 高危 影响范围: Linux内核 >=2.6.22(2007年发行)开始就受影响了 漏洞描述: 低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权。 Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,导致可以进一步提权,甚至提升到root级权限。 漏洞验证测试: 测试环境UB
该漏洞是 Linux 内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞, 导致可以破坏私有只读内存映射。黑客可以在获取低权限的的本地用户后,利用此漏洞获取 其他只读内存映射的写权限,进一步获取 root 权限。
chmod是用来改变文件或者目录权限的命令,但只有文件的属主和超级用户(root)才有这种权限。
在gogs官方有介绍,不建议直接使用root账户运行,这样风险太高了,平时我们发布应用也不建议这样。
AUFS是一种Union File System,所谓UnionFS就是把不同物理位置的目录合并mount到同一个目录中。UnionFS的一个最主要的应用是,把一张CD/DVD和一个硬盘目录给联合 mount在一起,然后,你就可以对这个只读的CD/DVD上的文件进行修改(当然,修改的文件存于硬盘上的目录里)。
命令:su [用户名] 功能:切换用户。 例如,要从root用户切换到普通用户user,则使用 su user。 要从普通用户user切换到root用户则使用 su root(root可以省略),此时系统会提示输入root用户的口令
Linux系统中的每个文件和目录都有访问许可权限,用以确定谁可以通过何种方式对文件和目录进行访问和操作。要想流畅的使用Linux系统,掌握文件权限管理必不可少。今天给大家介绍这方面的知识,希望能帮助大家更好的入门Linux。
Hosts 相关的小工具着实不少,大家需求最多的肯定是 hosts 切换工具了。SwitchHosts! 是一款可以方便你管理和一键切换多个 hosts 方案的免费开源工具,跨平台支持 Windows、macOS 和 Linux 系统。
drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代码开发较为严谨,安全性较高,但是再安全的网站系统,也会出现网站漏洞,drupal是网站运行访问必不可少的一个分支,为了网站的安全,不被攻击者攻击,我们要对网站以及服务器进行全面的安全加固与安全设置,包括我们服务器安全设置,web安全设置,php环境安全设置,msyql数据库安全设置,都要详细的安全加固好,才能保障整个网站的安全稳定运行。
由于Linux是多用户、多任务的操作系统,因此可能常常有多人同时在某台主机上工作,但每个人均可在主机上设置文件的权限,让其成为个人的“私密文件”,即个人所有者。因为设置了适当的文件权限,除本人(文件所有者)之外的用户无法查看文件内容。
使用eks/tke集群部署服务的时候,很多时候会需要通过configmap或者secret来挂载配置文件到容器里,但是通过configmap或者secret挂载的配置文件,直接登陆容器取进行写操作的时候会提示报错,文件只读,这是怎么回事呢?下面我们来简要分析下。
研究人员发现,去年发现的脏牛漏洞(CVE-2016–5195)尚未被完全修复。 脏牛漏洞由竞争条件引发——Linux内核内存子系统在处理COW时存在问题。这个漏洞由Phil Oester发现,它会导致攻击者在目标系统内提权。 Linux内核的内存子系统在处理写入时复制(copy-on-write, COW)时产生了竞争条件(race condition)。恶意用户可利用此漏洞,来获取高权限,对只读内存映射进行写访问。 竞争条件,指的是任务执行顺序异常,可导致应用崩溃,或令攻击者有机可乘,进一步执行其他代
中的lsblk 用于列出有关所有可用块设备的信息,但它不会列出有关RAM Disk的信息(其数据实际存储在RAM内存之中)。块设备一般包括硬盘、网络存储、usb存储,光盘等
Linux系统中的文件和目录都有访问许可权限,它来确定谁可以通过何种方式对文件和目录进行访问和操作。
网络文件系统(Network File System)是一种分布式文件系统协议,通过网络共享远程目录。使用NFS,可以在系统上挂载远程目录,并像对待本地文件一样使用远程计算机上的文件。
有幸,遇到过几次挖矿病毒,Linux 主机的关键命令都被删除替换,病毒文件被加了 i 只读权限,变成只读文件,root 无法修改删除!???? 本文就讲讲,怎么把这些加了锁的只读文件去 i
示例:chmod 777 /etc/squid 运行命令后,squid文件夹(目录)的权限就被修改为777(可读可写可执行)。
[ugoa...][[+-=][rwxX]...][,...]或者数字权限777,755
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。
本文是关于容器安全的文章,展示了 10 种强化 Docker 基础架构并保护容器和数据免受恶意攻击的方法。
/dev/sdb /data/disk1 xfs defaults 0 0
对于Linux程序员来说,我们都知道一个事实:程序不能写只读数据,一旦去写就会发生段错误。但是可能大多数人并不清楚为什么会发生段错误,那么本篇文章就来说说:从只读数据被映射到进程的虚拟地址空间到写访问发生段错误的整个过程,力求让大家搞清楚这里面的底层内核原理,讲完整个过程之后我们来通过一个示例代码让修改只读数据变得合法,那么我们现在开始吧!
适合的读者,对Docker有过简单了解的朋友,想要进一步了解Docker容器的朋友。
在将业务迁移到容器云环境时,应该注意哪些事项呢?下文我们总结了6个注意事项,帮助您安全使用容器。
业务需求方有个需要将apk包上传到服务器中,通过chfs可以将服务器目录共享出来,可以可以登录后台自行上传apk文件包。
当然,你可以进入子bash中去尝试输出变量,无法输出则是局部变量,可以输出则是全局变量 全局变量 如何定义一个全局变量呢?需要先声明一个局部变量,然后再通过export 导出为一个全局变量 在子bash中修改全局变量,只会再当前环境中生效,不会影响父bash环境,哪怕是你增加 export 也依然不会影响到父bash环境 Shell脚本中使用变量 我们可以在 hello.sh 的脚本中去调用全局和局部变量
当然,你可以进入子bash中去尝试输出变量,无法输出则是局部变量,可以输出则是全局变量 全局变量 如何定义一个全局变量呢?需要先声明一个局部变量,然后再通过export 导出为一个全局变量 在子bash中修改全局变量,只会再当前环境中生效,不会影响父bash环境,哪怕是你增加 export 也依然不会影响到父bash环境 Shell脚本中使用变量 我们可以在 hello.sh 的脚本中去调用全局和局部变量 export 变量名 txt=10 export txt #!/bin/bash echo $txt 在shell脚本中使用变量,同样遵循全局和局部变量的规则
对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。为了更容易上手,我将它们总结成了几个最佳实践配置,大家看完了就可以开干了。当然,本文所述的最佳安全实践仅限于 Pod 层面,也就是容器层面,于容器的生命周期相关,至于容器之外的安全配置(比如操作系统啦、k8s 组件啦),以后有机会再唠。
为了实现不同操作系统中的数据共享,我们一般会搭建一些用于文件共享的服务器,nfs服务器就是其中一种,它实现的是linux与linux之间的共享。今天我将把如何在linux系统搭建nfs服务器的步骤分享出来,供大家参考。
Linux 查找命令是Linux系统中最重要和最常用的命令之一。查找用于根据与参数匹配的文件指定的条件来搜索和查找文件和目录列表的命令。查找可以在各种条件下使用,您可以通过权限,用户,组,文件类型,日期,大小等可能的条件查找文件。 通过这篇文章,我们以实例的形式分享我们的日常Linux查找命令体验及其用法。在本文中,我们将向您展示Linux中最常用的35查找命令示例。我们将该部分分为五个部分,从基本到提前使用find命令。
糖豆贴心提醒,本文阅读时间7分钟 Linux 查找命令是Linux系统中最重要和最常用的命令之一。查找用于根据与参数匹配的文件指定的条件来搜索和查找文件和目录列表的命令。查找可以在各种条件下使用,您可以通过权限,用户,组,文件类型,日期,大小等可能的条件查找文件。 通过这篇文章,我们以实例的形式分享我们的日常Linux查找命令体验及其用法。在本文中,我们将向您展示Linux中最常用的35查找命令示例。我们将该部分分为五个部分,从基本到提前使用find命令。 ---- 第一部分:查找名
这篇教程教将指导 Linux 用户如何永久性地更改其系统的 Umask 值。特别建议全新安装的用户学习(想知道为什么的话,请移步下文) Umask 是什么?解释下,UMASK 代表用户掩码或用户文件创
头文件:#include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> 定义函数: int open(const char * pathname, int flags); int open(const char * pathname, int flags, mode_t mode); 函数说明: 参数 pathname 指向欲打开的文件路径字符串. 下列是参数flags 所能使用的旗标: O_RDONLY
原创文章,转载请务必将下面这段话置于文章开头处。 本文转发自:字母哥博客,原文链接 http://www.zimug.com/463.html
一个Linux目录或者文件,都会有一个所有者、所属组和其他用户。所有者是指文件的拥有者,而所属组指的是这个文件属于哪一个用户组。 例如:test的文件的所有者是user0,而test1文件的所有者是user1,那么user1很有可能是不能查看test文件的,相应地,user0也很有可能不能查看test1文件(之所以说的是可能,是因为user0和user1可能属于同一个用户组,而恰好这个用户组对这个两个文件有查看权限)。
mount 命令用来挂载文件系统。其基本命令格式为: mount -t type [-o options] device dir device:指定要挂载的设备,比如磁盘、光驱等。 dir:指定把文件系统挂载到哪个目录。 type:指定挂载的文件系统类型,一般不用指定,mount 命令能够自行判断。 options:指定挂载参数,比如 ro 表示以只读方式挂载文件系统。
小师妹又遇到难题了,这次的问题是有关文件的创建,文件权限和文件系统相关的问题,还好这些问题的答案都在我的脑子里面,一起来看看吧。
Linux下有两种用户: (2)root超级用户:几乎可以在linux下进行任何想要做的事情,为所欲为,不受限制. (2)普通用户:在linux下进行受很多权限约束的事情.
open(打开文件) 相关函数: read,write,fcntl,close,link,stat,umask,unlink,fopen
网络文件系统(NFS,Network File System)是一种将远程主机上的分区(目录)经网络挂载到本地系统的一种机制,通过对网络文件系统的支持,用户可以在本地系统上像操作本地分区一样来对远程主机的共享分区(目录)进行操作。
2022年3月7日,国外安全研究人员马克斯·凯勒曼在其博客中披露了一处存在于Linux内核中的本地提权漏洞,该漏洞允许非特权用户通过注入和覆盖任意只读文件中的数据(例如:/etc/passwd等),攻击者可以利用该特性从而实现权限提升,漏洞编号为CVE-2022-0847,该漏洞CVSS评分:7.8,危害等级:高危
前三个 rwx代表了该文件的拥有者的权限,中间的 rwx则代表该组的权限,最后三个 r-x则表示其他人对这个文件的权限
chattr命令的作用很大,其中一些功能是由Linux内核版本来支持的,如果Linux内核版本低于2.2,那么许多功能不能实现。同样-D检查压缩文件中的错误的功能,需要2.5.19以上内核才能支持。另外,通过chattr命令修改属性能够提高系统的安全 性,但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var目录。lsattr比较简单,只是显示文件的属性。
领取专属 10元无门槛券
手把手带您无忧上云