阅读量:12
银河麒麟高级服务器操作系统V10SP2(X86)audit服务组件升级、进程彻底关闭介绍
一 系统环境
[root@localhost ~]# nkvers ############## Kylin Linux Version ################# Release: Kylin Linux Advanced Server release V10 (Sword) Kernel: 4.19.90-24.4.v2101.ky10.x86_64 Build: Kylin Linux Advanced Server release V10 (SP2) /(Sword)-x86_64-Build09/20210524 ################################################# 二 组件升级
默认安装完毕系统之后的audit版本存在内存泄露问题,需要对组件版本进行升级修复,升级到audit-3.0-5.se.08.ky10版本或者以上版本(官网详细audit漏洞信息链接介绍地址:https://www.kylinos.cn/support/update/6.html)
2.1 联网升级audit
2.1.1 配置外网源(默认配置如下,不用修改)
[root@localhost ~]# cat /etc/yum.repos.d/kylin_x86_64.repo ###Kylin Linux Advanced Server 10 - os repo### [ks10-adv-os] name = Kylin Linux Advanced Server 10 - Os baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/base/$basearch/ gpgcheck = 1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin enabled = 1 [ks10-adv-updates] name = Kylin Linux Advanced Server 10 - Updates baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/$basearch/ gpgcheck = 1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin enabled = 1 [ks10-adv-addons] name = Kylin Linux Advanced Server 10 - Addons baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/addons/$basearch/ gpgcheck = 1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin enabled = 0 2.1.2 通过dnf命令进行升级(未指定版本的话会升级到最新se.12版本,建议升级到最新)
[root@localhost ~]# dnf update audit 上次元数据过期检查:1:22:24 前,执行于 2024年05月06日 星期一 12时23分43秒。 依赖关系解决。 ============================================================================================================================================================================================================================================== Package Architecture Version Repository Size ============================================================================================================================================================================================================================================== 升级: audit x86_64 3.0-5.se.12.ky10 ks10-adv-updates 171 k audit-libs x86_64 3.0-5.se.12.ky10 ks10-adv-updates 99 k python3-audit x86_64 3.0-5.se.12.ky10 ks10-adv-updates 71 k 事务概要 ============================================================================================================================================================================================================================================== 升级 3 软件包 总下载:341 k 确定吗?[y/N]: y 下载软件包: (1/3): audit-libs-3.0-5.se.12.ky10.x86_64.rpm 433 kB/s | 99 kB 00:00 (2/3): audit-3.0-5.se.12.ky10.x86_64.rpm 621 kB/s | 171 kB 00:00 (3/3): python3-audit-3.0-5.se.12.ky10.x86_64.rpm 62 kB/s | 71 kB 00:01 ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 总计 296 kB/s | 341 kB 00:01 警告:/var/cache/dnf/ks10-adv-updates-857d09ecb846ac4a/packages/audit-3.0-5.se.12.ky10.x86_64.rpm: 头V4 RSA/SHA1 Signature, 密钥 ID 7a486d9f: NOKEY Kylin Linux Advanced Server 10 - Updates 1.4 MB/s | 1.7 kB 00:00 导入 GPG 公钥 0x7A486D9F: Userid: "NeoKylin (release key) <support@cs2c.com.cn>" 指纹: B814 9E68 5286 4585 CE41 143B 41F8 AEBE 7A48 6D9F 来自: /etc/pki/rpm-gpg/RPM-GPG-KEY-kylin 确定吗?[y/N]: y 导入公钥成功 运行事务检查 事务检查成功。 运行事务测试 事务测试成功。 运行事务 准备中 : 1/1 运行脚本: audit-libs-3.0-5.se.12.ky10.x86_64 1/1 升级 : audit-libs-3.0-5.se.12.ky10.x86_64 1/6 升级 : audit-3.0-5.se.12.ky10.x86_64 2/6 运行脚本: audit-3.0-5.se.12.ky10.x86_64 2/6 /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 升级 : python3-audit-3.0-5.se.12.ky10.x86_64 3/6 清理 : python3-audit-3.0-5.se.06.ky10.x86_64 4/6 运行脚本: audit-3.0-5.se.06.ky10.x86_64 5/6 清理 : audit-3.0-5.se.06.ky10.x86_64 5/6 运行脚本: audit-3.0-5.se.06.ky10.x86_64 5/6 /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 清理 : audit-libs-3.0-5.se.06.ky10.x86_64 6/6 运行脚本: audit-libs-3.0-5.se.06.ky10.x86_64 6/6 /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 验证 : audit-3.0-5.se.12.ky10.x86_64 1/6 验证 : audit-3.0-5.se.06.ky10.x86_64 2/6 验证 : audit-libs-3.0-5.se.12.ky10.x86_64 3/6 验证 : audit-libs-3.0-5.se.06.ky10.x86_64 4/6 验证 : python3-audit-3.0-5.se.12.ky10.x86_64 5/6 验证 : python3-audit-3.0-5.se.06.ky10.x86_64 6/6 已升级: audit-3.0-5.se.12.ky10.x86_64 audit-libs-3.0-5.se.12.ky10.x86_64 python3-audit-3.0-5.se.12.ky10.x86_64 完毕! 2.1.3 重启服务使其生效
[root@localhost ~]# systemctl daemon-reload #重载配置文件 [root@localhost ~]# systemctl restart auditd #重启auditd服务 2.2 离线升级
2.2.1 离线升级
找一台能连互联网的机器,访问如下链接,下载audit-3.0-5.se.12.ky10.x86_64.rpm python3-audit-3.0-5.se.12.ky10.x86_64.rpm audit-libs-3.0-5.se.12.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/ 2.2.2 执行rpm -Uvh命令进行升级
[root@localhost audit]# ls audit-3.0-5.se.12.ky10.x86_64.rpm audit-libs-3.0-5.se.12.ky10.x86_64.rpm python3-audit-3.0-5.se.12.ky10.x86_64.rpm [root@localhost audit]# [root@localhost audit]# rpm -Uvh audit-3.0-5.se.12.ky10.x86_64.rpm audit-libs-3.0-5.se.12.ky10.x86_64.rpm python3-audit-3.0-5.se.12.ky10.x86_64.rpm Verifying... ################################# [100%] 准备中... ################################# [100%] 正在升级/安装... 1:audit-libs-3.0-5.se.12.ky10 ################################# [ 17%] 2:audit-3.0-5.se.12.ky10 ################################# [ 33%] /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 3:python3-audit-3.0-5.se.12.ky10 ################################# [ 50%] 正在清理/删除... 4:python3-audit-3.0-5.se.06.ky10 ################################# [ 67%] 5:audit-3.0-5.se.06.ky10 ################################# [ 83%] /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 6:audit-libs-3.0-5.se.06.ky10 ################################# [100%] /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 /sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接 2.2.3 重启服务使其生效
[root@localhost ~]# systemctl daemon-reload #重载配置文件 [root@localhost ~]# systemctl restart auditd #重启auditd服务 三 关闭audit服务
3.1 audit进程介绍
有两个进程,一个是内核态,一个是用户态
kaudit:内核空间程序,根据配置好的审计规则记录发生的事件
auditd:用户态程序,通过netlink获取审计日志
3.2 只关闭用户态程序
用户在不能重启系统的情况下需要关闭audit服务
[root@localhost ~]# service auditd stop #关闭audit服务 [root@localhost ~]# systemctl disable auditd.service #禁用audit服务 [root@localhost ~]# ps -ef | grep audit root 32 2 0 09:12 ? 00:00:00 [kauditd] root 5338 1 0 14:14 ? 00:00:00 /sbin/auditd root 5359 2971 0 14:14 pts/1 00:00:00 grep audit [root@localhost ~]# [root@localhost ~]# service auditd stop Stopping logging: [ OK ] [root@localhost ~]# [root@localhost ~]# ps -ef | grep audit root 32 2 0 09:12 ? 00:00:00 [kauditd] root 5375 2971 0 14:14 pts/1 00:00:00 grep audit [root@localhost ~]# [root@localhost ~]# #可以发现/sbin/auditd相关的进程已经没了 3.3 关闭内核态kaudit进程以及用户态auditd进程
3.3.1 关闭audit服务
[root@localhost ~]# service auditd stop #关闭audit服务 [root@localhost ~]# systemctl disable auditd.service #禁用audit服务 3.3.2 在/etc/default/grub文件中GRUB_CMDLINE_LINUX行尾添加audit=0
[root@localhost ~]# cat /etc/default/grub GRUB_TIMEOUT=5 GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" GRUB_DEFAULT=saved GRUB_DISABLE_SUBMENU=true GRUB_TERMINAL_OUTPUT="console" GRUB_CMDLINE_LINUX="resume=/dev/mapper/klas-swap rd.lvm.lv=klas/root rd.lvm.lv=klas/swap rhgb quiet crashkernel=1024M,high audit=0" GRUB_DISABLE_RECOVERY="true" 3.3.3 更新grub文件
检查是Legacy引导还是uefi引导 [ -d /sys/firmware/efi ] && echo UEFI || echo BIOS BIOS #如果输出是UEFI则表示是UEFI启动 #如果输出是BIOS则表示是传统的Legacy BIOS启动 传统的Legacy BIOS启动文件路径: /boot/grub2/grub.cfg UEFI启动文件路径: /boot/efi/EFI/kylin/grub.cfg UEFI引导执行:grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg Legacy启动执行:grub2-mkconfig -o /boot/grub2/grub.cfg 3.3.4 重启验证
[root@localhost ~]# ps -ef | grep audit root 2208 2160 0 14:24 pts/0 00:00:00 grep audit #重启之后[kauditd]和/sbin/auditd进程信息都没有表示关闭成功 