Как выгрузить модуль файловой системы на сервере RHEL 7, чтобы повысить его безопасность?
Я пытаюсь усилить защиту своего сервера RHEL Linux 7 в соответствии с рекомендациями CIS, поэтому я хочу выгрузить cramfs.
Я набрал следующую команду: modprobe -n -v cramfs
и получил следующий ответ:
insmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs /cramfs/cramfs.ko.xz
вместо упомянутого в СНГ: install /bin/true . Отмечу, что такого файла в моей системе нет.
Вопрос: что означает вывод? Как в этом контексте размонтировать cramfs?
Команда, которую вы выполняете, modprobe -n -v cramfsничего не делает, кроме вывода того, что она будет делать, если вы передали -n, что является коротким вариантом для --dry-run. Выход insmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs/cramfs/cramfs.ko.xzзагрузит модуль cramfsв этом месте.
Вы, вероятно, хотели сделать modprobe -v -r cramfs, так как флаг -rявляется коротким вариантом для --remove.
Это не предотвращает повторную загрузку модуля при перезагрузке или повторную загрузку вручную. Чтобы предотвратить это, вам нужно будет занести в черный список модуль, который немного сложнее.
Итак, как указал GracefulRestart modprobe -n -v cramfs, никаких изменений не происходит. Другой способ записи команды — modprobe --dry-run --verbose crampfs.
Вы заметите, что именно поэтому он появляется в разделе аудит в записи CIS, и ваши выходные данные отличаются от ожидаемых, поскольку вы не соответствуете требованиям. Таким образом, вы можете перейти к разделу исправления для этой конкретной проверки, которая заключается в создании файла .conf в разделе etc/modprobe.d/и добавьте следующую строку
install cramfs /bin/true
, а затем запустите
rmmod cramfs
для разгрузки грузов
Вы должны быть уступчивы после.
Чтобы предоставить немного больше информации о том, что происходит:
install modulename command... This is the most powerful primitive: it tells modprobe to run your command instead of inserting the module in the kernel as normal. The command can be any shell command: this allows you to do any kind of complex processing you might wish. For example, if the module "fred" works better with the module "barney" already installed (but it doesn't depend on it, so modprobe won't automatically load it), you could say "install fred /sbin/modprobe barney; /sbin/modprobe --ignore-install fred", which would do what you wanted. Note the --ignore-install, which stops the second modprobe from running the same install command again. See also remove below.
Таким образом, вместо добавления модуля cramfs в ядро мы заменяем это действие на install cramfs /bin/true, которое просто возвращает значение 0 и движется дальше.