0


centos系统kernel内核安全离线升级

系统漏洞扫描,扫描出以下的漏洞信息
漏洞版本如下:
1.Linux kernel 5.2.10之前版本中的drivers/hid/usbhid/hiddev.c驱动程序存在资源管理错误漏洞
2.Linux kernel 4.20之前版本中存在竞争条件问题漏洞
3.Linux kernel 4.1版本至4.x版本和5.0.8之前的5.x版本中存在信息泄露漏洞
4.Linux kernel 5.1.9之前版本中的 arch/x86/lib/insn-eval.c文件存在资源管理错误漏洞
在这里插入图片描述
因此,升级最新版的内核补丁来解决以上问题

自动安装解决方法
使用yum自动安装补丁包:
首先,使用下面的命令更新内部数据库:
#yum -y update
然后,使用下面的命令安装更新软件包:
#yum -y upgrade
使用本地yum源来安装,提示无可安装的版本包,就只能来手工下载补丁包安装
在这里插入图片描述
注:以上命令区别
yum -y update:升级所有包同时,也升级软件和系统内核;
yum -y upgrade:只升级所有包,不升级软件和系统内核,软件和内核保持原样

手工离线升级步骤如下:
一、查看现有的版本 uname -r
在这里插入图片描述
二、下载补丁包
下载地址
1.清华大学开源软件镜像站:https://mirrors.tuna.tsinghua.edu.cn/elrepo/kernel/el7/x86_64/RPMS/
2、官网下载
官方 Centos 6: http://elrepo.org/linux/kernel/el6/x86_64/RPMS/
官方 Centos 7: http://elrepo.org/linux/kernel/el7/x86_64/RPMS/

kernel-lt代表长期支持版本,支持周期更长,如果你要追求最新的版本,直接选择带ml的rpm包即可,如果你要追求稳定且更长的支持周期,直接选择lt版本
在这里插入图片描述

以最新版举例选择最新版本下载即可
其中 kernel-ml-headers 和 kernel-ml-devel 是开发驱动程序等的时候用到的。如果不做开发,则可以不安装着两个包。
在这里插入图片描述
三、补丁包安装
下载好对应最新的安装包,上传到服务器任意位置
1.进行补丁包安装 rpm -ivh 补丁包.rpm
在这里插入图片描述
注意如果安装报错error: Failed dependencies
则在加上 --force --nodeps 来强制安装
在这里插入图片描述
2,安装完成之后查看所有的内核版本:
awk -F’ ‘$1=="menuentry " {print i++ " : " $2}’ /boot/grub2/grub.cfg
可以看到第一条0:是我们安装的新版本
在这里插入图片描述
3.修改内核的启动顺序,
默认启动的顺序应该为1,升级以后内核是往前面插入为0。
设置GRUB_DEFAULT=0。一般新安装的内核在第一个位置,所以设置default=0,意思是 GRUB 初始化页面的第一个内核将作为默认内核。
修改方法:
1.vi /etc/default/grub
找到GRUB_DEFAULT=saved,将saved修改为内核位置,此处为0,则改为GRUB_DEFAULT=0
2.或输入 grub2-set-default 0
设置默认启动内核,grub2-set-default 0和/etc/default/grub文件里的GRUB_DEFAULT=0意思一样
在这里插入图片描述
4.重新创建内核配置
grub2-mkconfig -o /boot/grub2/grub.cfg
在这里插入图片描述
5.进行重启服务器
reboot
重启之后再次查看内核版本
uname -r
在这里插入图片描述
6.可以卸载之前旧版本内核
查询 rpm -qa|grep kernel
卸载 rpm -e 旧版本.rmp
在这里插入图片描述

标签: centos 安全 网络

本文转载自: https://blog.csdn.net/weixin_45618691/article/details/127985778
版权归原作者 续期君子 所有, 如有侵权,请联系我们删除。

“centos系统kernel内核安全离线升级”的评论:

还没有评论