Korzystasz z serwera na platformie e24cloud? Lukę napraw sam

27-08-2012, 12:33

Czy dane na serwerze w chmurze są bezpieczne? Jak wykazał jeden z naszych czytelników, odpowiedź na to pytanie nie zawsze jest twierdząca. Firma Beyond, do której należy platforma e24cloud, prowadzi już prace nad zmianą architektury systemu.

Na stronie e24cloud.com zainteresowani mogą skorzystać z serwera w chmurze bez konieczności inwestowania w sprzęt serwerowy i sieciowy. Beyond.pl dostarcza infrastrukturę informatyczną w oparciu o rozwiązanie IaaS (Infrastructure as a Service). Jeden z użytkowników usługi, Sebastian Dudek, w miniony czwartek poinformował na swoim blogu o luce w oprogramowaniu zarządzającym hypervisorami.

Problem dotyczy nieprawidłowych uprawnień pliku /etc/shadow. Z niewiadomych powodów plik ten ma w czystych obrazach systemów chmod 644 (...) takie uprawnienia pozwalają każdemu użytkownikowi w systemie odczytać zawartość pliku. Zalecane jest od razu ustawić na plik /etc/shadow chmod 600 - czytamy na blogu, można tam znaleźć także zrzuty ekranu dowodzące istnienia błędu.

Ale o co chodzi?

Chmod (z ang. change mode) jest poleceniem zmiany praw dostępu do plików w systemach uniksowych. Prawa są nadawane niezależnie właścicielowi pliku, grupie, do której plik należy, oraz innym użytkownikom. Do nadawania uprawnień stosuje się m.in. system numeryczny, w którym chmod przyjmuje odpowiednią wartość potęgi dwójki dla każdego typu akcji (odczytu, zapisu, uruchomienia). 644 oznacza, że właściciel ma prawo do odczytu i zapisu, a grupa i inni użytkownicy - prawo do odczytu. Zmieniając powyższą wartość na 600, pozostawiamy właścicielowi możliwość odczytu i zapisu, a pozostałym odbieramy wszystkie prawa do danego pliku. Zmiany dokonujemy za pomocą następującego polecenia wydanego z konsoli:

chmod 600 /etc/shadow

Błąd został wykryty podczas rutynowego sprawdzania zabezpieczeń serwera. Sebastian Dudek poinformował o nim obsługę e24cloud i dowiedział się, że zostanie on naprawiony wraz z wdrożeniem nowego oprogramowania, co nastąpi dopiero pod koniec września.

Sonda
Realnie myśląc, jak szybko usługodawcy powinni łatać luki znalezione w ich produktach?
  • Tak szybko, jak to możliwe
  • W ciągu tygodnia
  • W ciągu miesiąca
  • W dowolnym wybranym przez siebie terminie
wyniki  komentarze

Michał Romanowski z Beyond.pl, odpowiadając na zapytanie Dziennika Internautów, podkreślił, że znaleziona luka występuje w oprogramowaniu zewnętrznej firmy, które odpowiada za instalację i deployowanie systemów wirtualnych. Błąd dotyczy tylko serwerów wirtualnych instalowanych z systemami Linux i jest problemem lokalnym, związanym z konkretnymi wirtualnymi maszynami, w żadnym wypadku z całą platformą e24cloud.com. To samo można przeczytać na firmowym DevBlogu, gdzie nie zabrakło zapewnienia, że dane użytkowników są bezpieczne.

Według Romanowskiego wszyscy, których błąd dotyczy, zostali już o nim poinformowani. Jeżeli jesteś użytkownikiem serwera w chmurze na platformie e24cloud, sprawdź koniecznie, wykorzystując konsolę, prawa dostępu do wskazanego wyżej pliku i zmień je w razie potrzeby. Jak wyjaśnił Romanowski, administratorzy platformy nie mają uprawnień, by zrobić to odgórnie w postawionych już serwerach wirtualnych.

Przedstawiciel Beyond.pl potwierdził, że prowadzone od dwóch miesięcy prace nad zmianą architektury systemu potrwają do końca września. Ich celem ma być wyeliminowanie wszystkich błędów w oprogramowaniu. Osobę, która nas poinformowała o błędzie, zaprosiliśmy do testów bezpieczeństwa nowego systemu - czytamy na DevBlogu usługi.

Czytaj także: Polska konkurencja dla chmury obliczeniowej Amazona

Partnerem cyklu artykułów o Cloud Computing jest:

IBM SmartCloud Enterprise


Źródło: DI24.pl
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
Komentarze
comments powered by Disqus
To warto przeczytać










  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.