银河麒麟高级服务器操纵系统V10SP2（X86）audit服务组件升级、历程彻底关闭 ...

用户云卷云舒 · 2024-7-11 20:09:42

一系统环境

[root@localhost ~]# nkvers
############## Kylin Linux Version #################
Release:
Kylin Linux Advanced Server release V10 (Sword)
Kernel:
4.19.90-24.4.v2101.ky10.x86_64
Build:
Kylin Linux Advanced Server
release V10 (SP2) /(Sword)-x86_64-Build09/20210524
#################################################

复制代码

二组件升级

默认安装完毕系统之后的audit版本存在内存泄露问题，需要对组件版本进行升级修复，升级到audit-3.0-5.se.08.ky10版本或者以上版本（官网详细audit弊端信息链接先容地址：https://www.kylinos.cn/support/update/6.html）
2.1 联网升级audit

2.1.1 配置外网源（默认配置如下，不消修改）

[root@localhost ~]# cat /etc/yum.repos.d/kylin_x86_64.repo
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/base/$basearch/
gpgcheck = 1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/$basearch/
gpgcheck = 1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
enabled = 1
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/addons/$basearch/
gpgcheck = 1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
enabled = 0

复制代码

2.1.2 通过dnf下令进行升级（未指定版本的话会升级到最新se.12版本，建议升级到最新）

[root@localhost ~]# dnf update audit
上次元数据过期检查：1:22:24 前，执行于 2024年05月06日星期一 12时23分43秒。
依赖关系解决。
==============================================================================================================================================================================================================================================
Package Architecture Version Repository Size
==============================================================================================================================================================================================================================================
升级:
audit x86_64 3.0-5.se.12.ky10 ks10-adv-updates 171 k
audit-libs x86_64 3.0-5.se.12.ky10 ks10-adv-updates 99 k
python3-audit x86_64 3.0-5.se.12.ky10 ks10-adv-updates 71 k
事务概要
==============================================================================================================================================================================================================================================
升级 3 软件包
总下载：341 k
确定吗？[y/N]： y
下载软件包：
(1/3): audit-libs-3.0-5.se.12.ky10.x86_64.rpm 433 kB/s | 99 kB 00:00
(2/3): audit-3.0-5.se.12.ky10.x86_64.rpm 621 kB/s | 171 kB 00:00
(3/3): python3-audit-3.0-5.se.12.ky10.x86_64.rpm 62 kB/s | 71 kB 00:01
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
总计 296 kB/s | 341 kB 00:01
警告：/var/cache/dnf/ks10-adv-updates-857d09ecb846ac4a/packages/audit-3.0-5.se.12.ky10.x86_64.rpm: 头V4 RSA/SHA1 Signature, 密钥 ID 7a486d9f: NOKEY
Kylin Linux Advanced Server 10 - Updates 1.4 MB/s | 1.7 kB 00:00
导入 GPG 公钥 0x7A486D9F:
Userid: "NeoKylin (release key) <support@cs2c.com.cn>"
指纹: B814 9E68 5286 4585 CE41 143B 41F8 AEBE 7A48 6D9F
来自: /etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
确定吗？[y/N]： y
导入公钥成功
运行事务检查
事务检查成功。
运行事务测试
事务测试成功。
运行事务
准备中 : 1/1
运行脚本: audit-libs-3.0-5.se.12.ky10.x86_64 1/1
升级 : audit-libs-3.0-5.se.12.ky10.x86_64 1/6
升级 : audit-3.0-5.se.12.ky10.x86_64 2/6
运行脚本: audit-3.0-5.se.12.ky10.x86_64 2/6
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接
升级 : python3-audit-3.0-5.se.12.ky10.x86_64 3/6
清理 : python3-audit-3.0-5.se.06.ky10.x86_64 4/6
运行脚本: audit-3.0-5.se.06.ky10.x86_64 5/6
清理 : audit-3.0-5.se.06.ky10.x86_64 5/6
运行脚本: audit-3.0-5.se.06.ky10.x86_64 5/6
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接
清理 : audit-libs-3.0-5.se.06.ky10.x86_64 6/6
运行脚本: audit-libs-3.0-5.se.06.ky10.x86_64 6/6
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接
验证 : audit-3.0-5.se.12.ky10.x86_64 1/6
验证 : audit-3.0-5.se.06.ky10.x86_64 2/6
验证 : audit-libs-3.0-5.se.12.ky10.x86_64 3/6
验证 : audit-libs-3.0-5.se.06.ky10.x86_64 4/6
验证 : python3-audit-3.0-5.se.12.ky10.x86_64 5/6
验证 : python3-audit-3.0-5.se.06.ky10.x86_64 6/6
已升级:
audit-3.0-5.se.12.ky10.x86_64 audit-libs-3.0-5.se.12.ky10.x86_64 python3-audit-3.0-5.se.12.ky10.x86_64
完毕！

复制代码

2.1.3 重启服务使其生效

[root@localhost ~]# systemctl daemon-reload #重载配置文件
[root@localhost ~]# systemctl restart auditd #重启auditd服务

复制代码

2.2 离线升级

2.2.1 离线升级

找一台能连互联网的机器，访问如下链接，下载audit-3.0-5.se.12.ky10.x86_64.rpm python3-audit-3.0-5.se.12.ky10.x86_64.rpm audit-libs-3.0-5.se.12.ky10.x86_64.rpm

https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/

复制代码

2.2.2 实行rpm -Uvh下令进行升级

[root@localhost audit]# ls
audit-3.0-5.se.12.ky10.x86_64.rpm audit-libs-3.0-5.se.12.ky10.x86_64.rpm python3-audit-3.0-5.se.12.ky10.x86_64.rpm
[root@localhost audit]#
[root@localhost audit]# rpm -Uvh audit-3.0-5.se.12.ky10.x86_64.rpm audit-libs-3.0-5.se.12.ky10.x86_64.rpm python3-audit-3.0-5.se.12.ky10.x86_64.rpm
Verifying... ################################# [100%]
准备中... ################################# [100%]
正在升级/安装...
1:audit-libs-3.0-5.se.12.ky10 ################################# [ 17%]
2:audit-3.0-5.se.12.ky10 ################################# [ 33%]
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接
3:python3-audit-3.0-5.se.12.ky10 ################################# [ 50%]
正在清理/删除...
4:python3-audit-3.0-5.se.06.ky10 ################################# [ 67%]
5:audit-3.0-5.se.06.ky10 ################################# [ 83%]
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接
6:audit-libs-3.0-5.se.06.ky10 ################################# [100%]
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接
/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接

复制代码

2.2.3 重启服务使其生效

[root@localhost ~]# systemctl daemon-reload #重载配置文件
[root@localhost ~]# systemctl restart auditd #重启auditd服务

复制代码

三关闭audit服务

3.1 audit历程先容

有两个历程，一个是内核态，一个是用户态
kaudit：内核空间程序，根据配置好的审计规则记录发生的变乱
auditd：用户态程序，通过netlink获取审计日志
3.2 只关闭用户态程序

用户在不能重启系统的情况下需要关闭audit服务

[root@localhost ~]# service auditd stop #关闭audit服务
[root@localhost ~]# systemctl disable auditd.service #禁用audit服务
[root@localhost ~]# ps -ef | grep audit
root 32 2 0 09:12 ? 00:00:00 [kauditd]
root 5338 1 0 14:14 ? 00:00:00 /sbin/auditd
root 5359 2971 0 14:14 pts/1 00:00:00 grep audit
[root@localhost ~]#
[root@localhost ~]# service auditd stop
Stopping logging: [ OK ]
[root@localhost ~]#
[root@localhost ~]# ps -ef | grep audit
root 32 2 0 09:12 ? 00:00:00 [kauditd]
root 5375 2971 0 14:14 pts/1 00:00:00 grep audit
[root@localhost ~]#
[root@localhost ~]#
#可以发现/sbin/auditd相关的进程已经没了

复制代码

3.3 关闭内核态kaudit历程以及用户态auditd历程

3.3.1 关闭audit服务

[root@localhost ~]# service auditd stop #关闭audit服务
[root@localhost ~]# systemctl disable auditd.service #禁用audit服务

复制代码

3.3.2 在/etc/default/grub文件中GRUB_CMDLINE_LINUX行尾添加audit=0

[root@localhost ~]# cat /etc/default/grub
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="resume=/dev/mapper/klas-swap rd.lvm.lv=klas/root rd.lvm.lv=klas/swap rhgb quiet crashkernel=1024M,high audit=0"
GRUB_DISABLE_RECOVERY="true"

复制代码

3.3.3 更新grub文件

检查是Legacy引导还是uefi引导
[ -d /sys/firmware/efi ] && echo UEFI || echo BIOS
BIOS
#如果输出是UEFI则表示是UEFI启动
#如果输出是BIOS则表示是传统的Legacy BIOS启动
传统的Legacy BIOS启动文件路径：
/boot/grub2/grub.cfg
UEFI启动文件路径：
/boot/efi/EFI/kylin/grub.cfg
UEFI引导执行：grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg
Legacy启动执行：grub2-mkconfig -o /boot/grub2/grub.cfg

复制代码

3.3.4 重启验证

[root@localhost ~]# ps -ef | grep audit
root 2208 2160 0 14:24 pts/0 00:00:00 grep audit
#重启之后[kauditd]和/sbin/auditd进程信息都没有表示关闭成功

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

		自动登录	找回密码
密码			立即注册

银河麒麟高级服务器操纵系统V10SP2（X86）audit服务组件升级、历程彻底关闭 ...

0 个回复

快速回复

楼主热帖

标签云

浏览过的版块