CISガイドに従ってRHEL Linux Server 7を強化したいので、crushfsを削除したいと思います。
次のコマンドを入力しました。 modprobe -n -v cramfs
私は次の答えを得ました。
insmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs/cramfs/cramfs.ko.xz
CISで言及されているものの代わりに:インストール/bin/true。私のシステムにそのようなファイルがないことがわかりました。
Q:出力とはどういう意味ですか?このような場合、crafsをどのように削除できますか?
答え1
実行中のコマンドは、modprobe -n -v cramfs渡したコマンド-nのみを出力します(省略オプションです)--dry-run。出力はこの位置にinsmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs/cramfs/cramfs.ko.xzモジュールをロードします。cramfs
flagが短縮オプションなので、modprobe -v -r cramfsこれをしたいかもしれません。-r--remove
これは、再起動時にモジュールが再ロードされるか手動で再ロードされるのを防ぎません。これを防ぐには、より関連性の高いモジュールをブラックリストに追加する必要があります。
答え2
したがって、GracefulRestartが指摘したようにmodprobe -n -v cramfs変更は行われません。コマンドを書くもう一つの方法はですmodprobe --dry-run --verbose crampfs。
ここが現れる場所であることがわかります。審査セクションをCISエントリに追加しましたが、規制に準拠していないため、出力は予想とは異なります。したがって、その特定の検査の修正部分に移動することができる。.confファイルの末尾にetc/modprobe.d/次の行を追加します。
install cramfs /bin/true
その後実行
rmmod cramfs
クランプの取り外し
それから従うべきです。
何が起こっているのかに関する詳細情報を提供してください。
install modulename command... これは最も強力な基本要素です。これは modprobe に、通常どおりモジュールをカーネルに挿入するのではなく、コマンドを実行するように指示します。コマンドはどのシェルコマンドでもかまいません。これにより、あらゆる種類の複雑な処理を実行できます。たとえば、「fred」モジュールがインストールされているモジュール「barney」とうまく機能する場合(ただしこれに依存しないため、modprobeが自動的にロードしない)、「install fred /sbin/modprobe barney」と言うことができます。 /sbin/modprobe --ignore-install fred", これは必要な作業を行います。 --ignore-install は、2番目のmodprobeが同じインストールコマンドを再実行するのを防ぎます。以下のアンインストールも参照してください。
したがって、crafsモジュールをカーネルに追加するのではなく、そのinstall cramfs /bin/trueアクションをゼロ値を返し、続行するタスクに置き換えます。