随笔 - 96  文章 - 0 评论 - 303 trackbacks - 0

1. 说明

正在使用的阿里云服务器报了几个内核漏铜,使用自带【一键修复】需要额外的支付费用,所以尝试采用升级系统内核的方式来修复漏洞。

1.1 服务器参数

操作系统:CentOS 7.4 64位

当前内核版本:Linux 3.10.0

 

1.2 ELRepo

ELRepo是一个为Linux提供驱动程序和内核映像的存储库。

这里的升级方案就是采用ELRepo提供的内核通道。

ELRepo官网:http://elrepo.org/tiki/tiki-index.php

 

2. 升级内核

2.1 当前内核版本

说明:可以看到当前服务器的内核版本为3.10.0,Linux提供的内核信息可以访问此网站:https://www.kernel.org/

$ uname -mrs
Linux 3.10.0-693.2.2.el7.x86_64 x86_64

 

2.2 导入ELRepo公钥

$ rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

 

2.3 安装ELRepo

说明:因当前服务器的操作系统为CentOS7.4,所以采用此安装包。其他操作系统版本安装方式可去ELRepo官网查看。

$ yum install https://www.elrepo.org/elrepo-release-7.0-4.el7.elrepo.noarch.rpm

 

2.4 查看ELRepo提供的内核版本

$ yum --disablerepo="*" --enablerepo="elrepo-kernel" list available

显示

kernel-lt:表示longterm,即长期支持的内核;当前为4.4.*。

kernel-ml:表示mainline,即当前主线的内核;当前为5.2.*

 

2.5 安装kernel-lt内核

$ yum --disablerepo='*' --enablerepo=elrepo-kernel install kernel-lt

 

2.6 查看启动器

$ awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg
0 : CentOS Linux (4.4.186-1.el7.elrepo.x86_64) 7 (Core)
1 : CentOS Linux (3.10.0-957.27.2.el7.x86_64) 7 (Core)
2 : CentOS Linux (3.10.0-957.21.3.el7.x86_64) 7 (Core)

 

2.7 设置默认启动为新内核

$ grub2-set-default 0

 

2.8 重启

说明:重启后发现内核版本已变更为 4.4.186。

$ reboot
$ uname -mrs
Linux 4.4.186-1.el7.elrepo.x86_64 x86_64

 

3. 修复ecs漏洞

说明:除了升级内核外,还可以通过更新rpm软件包的形式来修复漏洞。

3.1 检查可更新的rpm包

$ yum check-update

 

3.2 更新所有的rpm包

$ yum update

说明:更新所有rpm包是一种粗狂的解决方案,实际中可指定rmp包进行单独更新。

 

posted on 2019-08-02 11:37 方木一 阅读(...) 评论(...) 编辑 收藏