Base de connaissances

Agir comme si CageFS était désactivé

Qu'est-ce que CageFS ?

CageFS est un système de fichiers virtualisé développé par CloudLinux. Il isole chaque utilisateur dans un environnement d'hébergement mutualisé et lui donne l'illusion d'un serveur dédié. CageFS limite l'accès à certaines parties du serveur, améliorant ainsi la sécurité en empêchant un utilisateur de voir ou d'interférer avec les fichiers et processus d'autres utilisateurs.

Que se passe-t-il lorsque CageFS est désactivé ?

  • Augmentation des risques de sécurité : Lorsque CageFS est désactivé, les utilisateurs peuvent avoir accès à des fichiers système et des processus en dehors de leur environnement alloué, exposant ainsi le système à des exploits potentiels.
  • Accès à des fichiers sensibles : Les utilisateurs peuvent être en mesure d'accéder ou d'exécuter des fichiers auxquels ils ne devraient pas avoir accès, y compris des fichiers de configuration sensibles ou des scripts appartenant à d'autres utilisateurs ou à des processus système.
  • Potentiel d'escalade de privilèges : Les utilisateurs pourraient être capables de découvrir des vulnérabilités dans le système, ce qui pourrait leur permettre d'escalader leurs privilèges et d'obtenir un accès de niveau supérieur au serveur.
  • Impact sur la stabilité du système : L'absence d'isolement des utilisateurs peut entraîner des interférences entre les processus des utilisateurs, ce qui peut provoquer de l'instabilité dans un environnement partagé.

Comment agir lorsque CageFS est désactivé

  • Surveiller l'activité des utilisateurs : Étant donné qu'il existe un risque accru d'accès non autorisé, il est important de surveiller de près l'activité des utilisateurs via les journaux. Consultez les journaux comme /var/log/messages, /var/log/secure et /var/log/auth.log.
  • Limiter les permissions des utilisateurs : Réévaluez les permissions des utilisateurs et limitez leur capacité à exécuter ou accéder à des fichiers et processus sensibles du système. Utilisez les commandes chmod et chown pour ajuster les permissions des fichiers.
  • Vérifier les paramètres de sécurité : Assurez-vous que d'autres mesures de sécurité sont en place, telles que :
    • SELinux ou AppArmor pour l'isolement des processus.
    • Sécuriser les environnements utilisateurs à l'aide d'outils comme rbash ou chroot.
    • Renforcer l'accès SSH et utiliser l'authentification multi-facteurs (MFA) lorsque cela est applicable.
  • Utiliser des mesures d'isolement alternatives : Envisagez d'utiliser des mesures de sécurité alternatives, telles que Docker ou des machines virtuelles (VM), pour isoler efficacement les utilisateurs ou les charges de travail.
  • Corriger les vulnérabilités : Mettez à jour et appliquez régulièrement des correctifs à vos logiciels serveur et assurez-vous qu'il n'y a pas de vulnérabilités connues pouvant être exploitées en raison de l'absence d'isolement.
  • Audit et renforcement : Auditez régulièrement le système et assurez-vous que des techniques de renforcement appropriées sont suivies. Désactivez les services inutiles et assurez-vous que les logiciels critiques sont à jour.
  • Vérification de l'intégrité des fichiers : Utilisez des outils comme AIDE ou Tripwire pour surveiller les changements dans les fichiers et répertoires système critiques, afin de garantir qu'aucune activité malveillante n'a été introduite après la désactivation de CageFS.

Actions de sécurité importantes

  • Effectuer des analyses de sécurité : Utilisez des outils comme ClamAV, Hunter ou Lynis pour détecter les logiciels malveillants et les rootkits sur le système.
  • Sécuriser les permissions des fichiers : Vérifiez et corrigez les problèmes de permissions des fichiers. Assurez-vous que seuls les utilisateurs autorisés peuvent accéder aux fichiers et répertoires sensibles.
  • Fichiers de configuration : Vérifiez la configuration des serveurs web (Apache, Nginx) et des bases de données (MySQL, PostgreSQL) pour des contrôles d'accès appropriés.
  • Utiliser des protocoles sécurisés : Assurez-vous que toutes les communications entre les utilisateurs et le serveur sont chiffrées, surtout si CageFS est désactivé. Utilisez SSL/TLS, SFTP et d'autres protocoles sécurisés.

Dépannage

Si vous êtes en train de résoudre un problème pour savoir pourquoi CageFS est désactivé ou si cela a été désactivé de manière involontaire, voici quelques étapes :

  • Vérifier la licence CloudLinux : Assurez-vous que la licence CloudLinux est valide. Si la licence a expiré, CageFS pourrait être désactivé.
  • Vérification de la configuration : Consultez les fichiers de configuration de CloudLinux (généralement situés dans /etc/sysconfig/cagefs) pour vous assurer que CageFS est activé dans la configuration.
  • Statut du service : Vérifiez si le service CageFS est en cours d'exécution en utilisant systemctl status cagefs ou service cagefs status.
  • Réactiver CageFS : Si nécessaire, vous pouvez réactiver CageFS en exécutant la commande suivante : 
    cagefsctl --enable

Meilleures pratiques après la désactivation de CageFS

  • Mettre en place des contrôles de sécurité au niveau du système : En remplacement de l'isolement fourni par CageFS, assurez-vous que le serveur dispose de mesures de sécurité robustes telles que des pare-feu, des politiques de sécurité et des analyses de vulnérabilité fréquentes.
  • Sauvegardes et récupération après sinistre : Assurez-vous que des sauvegardes fréquentes sont effectuées, surtout lorsqu'un environnement sans isolement est utilisé.
  • Éduquer les utilisateurs : Si vous êtes dans un environnement d'hébergement mutualisé, assurez-vous que les utilisateurs comprennent les risques de sécurité et les meilleures pratiques, même sans CageFS.

Solutions alternatives

  • Docker : Pour un meilleur isolement des charges de travail, envisagez d'utiliser des conteneurs Docker. Les conteneurs offrent une solution légère et flexible pour isoler les applications et les utilisateurs.
  • Serveurs privés virtuels (VPS) : Si l'hébergement mutualisé devient trop insécurisé sans CageFS, envisagez de migrer les utilisateurs vers des VPS où ils bénéficient d'environnements isolés.
  • SELinux ou AppArmor : Ces modules de sécurité peuvent fournir un contrôle d'accès obligatoire, garantissant que même sans CageFS, le système reste protégé.
  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

CloudLinux OS+ FAQ

Here are some frequently asked questions (FAQ) and answers about CloudLinux OS+: Q: What is CloudLinux OS+? A: CloudLinux OS+ is an extension of CloudLinux OS, a Linux distribution designed for...

CloudLinux OS 8 FAQ

CloudLinux OS 8 was the latest major release available. Here are some frequently asked questions (FAQ) about CloudLinux OS 8: What is CloudLinux OS 8? CloudLinux OS 8 is a Linux...

CloudLinux OS Dashboard FAQ

CloudLinux OS Dashboard was a tool provided by CloudLinux for managing and monitoring CloudLinux OS installations. Here are some frequently asked questions (FAQ) about CloudLinux OS...

Is PHP 8.2 available for Cloudlinux

PHP 8.2 had not been released. The latest stable release at that time was PHP 8.0. However, if PHP 8.2 has been released after September 2021, I would not have information on it. I recommend...

Error extracting /home/username/backups/backup/home.tar.zst : /bin/tar: ./.cagefs/tmp/mysql.sock: Cannot create symlink to ‘/var/lib/mysql/mysql.sock’: Permission denied

The error message you provided indicates that there's a permission issue when trying to extract a file from the backup directory. Specifically, it's encountering a problem when trying to...