🛡️ SSH & Server Hardening: Zaštita od “Copyfail” eksploatacije

Za server administratore pristup mora biti direktniji, stroži i fokusiran na automatizaciju i SSH bezbednost. Evo uputstva prilagođenog za Ubuntu Server (headless) okruženja.

Kada su serveri u pitanju, “Copyfail” je kritičan jer omogućava bilo kom kompromitovanom servisu (npr. napadnutom veb serveru) da dobije root pristup celoj mašini.

1. Masovna provera verzije (Ansible ili Bash)

Ako upravljate grupom servera, proverite verzije kernela:

bash

# Na svakom serveru

uname -r

Use code with caution.

Svi kerneli od 4.14 do 7.0-rc su ranjivi.

2. Hitno ublažavanje pretnje (Mitigation)

Pošto na serverima ne želite grafički interfejs, koristite sledeći niz komandi da trajno onemogućite ranjivi kernel modul bez restarta (ali uz planirani reboot kasnije):

bash

# Kreiranje blacklist fajla

echo “blacklist algif_aead” | sudo tee /etc/modprobe.d/copyfail-fix.conf

# Force-disable preko install direktive (najsigurnije)

echo “install algif_aead /bin/false” | sudo tee -a /etc/modprobe.d/copyfail-fix.conf

# Trenutno izbacivanje iz kernela

sudo modprobe -r algif_aead

Use code with caution.

3. Prebacivanje na Mirror (Command Line)

Ako apt update stoji ili vraća “Connection Refused” zbog DDoS-a na Canonical, izmenite sources.list da koristi ogledalo koje je bliže i verovatno dostupno:

bash

# Zamena ://ubuntu.com sa lokalnim mirrorom (primer za Srbiju)

sudo sed -i ‘s/://ubuntu.com/rs.://ubuntu.com/g’ /etc/apt/sources.list

sudo sed -i ‘s/security.ubuntu.com/rs.://ubuntu.com/g’ /etc/apt/sources.list

# Osvežavanje i instalacija kernela

sudo apt update && sudo apt install –only-upgrade linux-image-generic

Use code with caution.

4. Post-Update koraci (Kritično)

Nakon ažuriranja kernela na serveru, reboot je obavezan jer se “Copyfail” nalazi u radnoj memoriji.

bash

sudo reboot

Use code with caution.

5. Dodatna preporuka: Monitoring

Proverite logove na serveru da li je bilo sumnjivih pokušaja eskalacije privilegija:

bash

grep “sudo” /var/log/auth.log | grep -v “command not allowed”

Use code with caution.

Potražite neobične sesije koje su dobile root pristup neposredno pre nego što je Canonical pao pod DDoS.

Napomena za produkciju: Ako vaši servisi koriste specifične kriptografske biblioteke koje se oslanjaju na af_alg (veoma retko za standardne veb/db servere), onemogućavanje modula može dovesti do grešaka u tim aplikacijama. Testirajte na jednom nodu pre masovne primene.