CIS 가이드에 따라 RHEL Linux 서버 7을 강화하려고 하므로 crushfs를 제거하고 싶습니다.
다음 명령을 입력했습니다. modprobe -n -v cramfs
나는 다음과 같은 대답을 얻었습니다.
insmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs/cramfs/cramfs.ko.xz
CIS에 언급된 것 대신:설치/bin/true. 내 시스템에 그러한 파일이 없다는 것을 알았습니다.
질문: 출력이란 무엇을 의미하나요? 이런 경우,crafs를 어떻게 제거할 수 있나요?
답변1
실행 중인 명령은 modprobe -n -v cramfs전달한 명령 -n만 출력합니다(약식 옵션임) --dry-run. 출력은 이 위치에 insmod /lib/modules/3.10.0-693.el7.x86_64/kernel/fs/cramfs/cramfs.ko.xz모듈을 로드 합니다.cramfs
flag가 단축 옵션이기 modprobe -v -r cramfs때문에 이렇게 하고 싶을 수도 있습니다 .-r--remove
이는 재부팅 시 모듈이 다시 로드되거나 수동으로 다시 로드되는 것을 방지하지 않습니다. 이를 방지하려면 더 관련성이 높은 모듈을 블랙리스트에 추가해야 합니다.
답변2
따라서 GracefulRestart가 지적한 대로 modprobe -n -v cramfs변경 사항이 수행되지 않습니다. 명령을 작성하는 또 다른 방법은 입니다 modprobe --dry-run --verbose crampfs.
여기가 나타나는 곳이라는 것을 알 수 있을 것입니다.심사섹션을 CIS 항목에 추가했는데 규정을 준수하지 않기 때문에 출력이 예상과 다릅니다. 따라서 해당 특정 검사의 수정 부분으로 이동할 수 있습니다..conf파일 끝에 etc/modprobe.d/다음 줄을 추가하십시오.
install cramfs /bin/true
그런 다음 실행
rmmod cramfs
크램프 제거
그러면 순종해야 합니다.
무슨 일이 일어나고 있는지에 대한 자세한 정보를 제공하세요.
install modulename command... 이것은 가장 강력한 기본 요소입니다. 이는 modprobe에게 평소처럼 모듈을 커널에 삽입하는 대신 명령을 실행하도록 지시합니다. 명령은 어떤 쉘 명령이라도 될 수 있습니다. 이를 통해 원하는 모든 종류의 복잡한 처리를 수행할 수 있습니다. 예를 들어, "fred" 모듈이 설치된 모듈 "barney"와 더 잘 작동하는 경우(하지만 이에 의존하지 않으므로 modprobe가 자동으로 로드하지 않음) "install fred /sbin/modprobe barney"라고 말할 수 있습니다. / sbin/modprobe --ignore-install fred", 이것이 원하는 작업을 수행합니다. --ignore-install은 두 번째 modprobe가 동일한 설치 명령을 다시 실행하는 것을 방지합니다. 아래 제거도 참조하세요.
따라서 crafs 모듈을 커널에 추가하는 대신 install cramfs /bin/true해당 작업을 0 값을 반환하고 계속 진행하는 작업으로 대체합니다.