1.復(fù)現(xiàn)步驟
1����、步驟1:通過(guò)不斷的在系統(tǒng)中執(zhí)行ssh遠(yuǎn)程連接����,產(chǎn)生用戶登錄的audit日志��;
2、步驟2:執(zhí)行內(nèi)存使用情況監(jiān)視命令:watch -n 1 -d cat "/proc/"`ps -ef | grep -w auditd |grep -v grep | awk 'NR==1 {print $2}'`"/status"���。
3����、結(jié)果:內(nèi)存使用情況會(huì)不斷增加����,如附件audit06測(cè)試內(nèi)存泄漏情況.mp4.
2.原因簡(jiǎn)述
對(duì)比版本(audit-3.0-5)和版本(audit-3.0-5.se.06),發(fā)現(xiàn)audit-3.0-5版本不存在問(wèn)題�,即分析se.06版本添加的6個(gè)補(bǔ)丁,發(fā)現(xiàn)se.05版本中引入了計(jì)算日志分區(qū)剩余大小的計(jì)算方式��,分析補(bǔ)丁代碼��,發(fā)現(xiàn)有申請(qǐng)內(nèi)存后未及時(shí)釋放的問(wèn)題���。
3.解決方案/修復(fù)/更新方法
升級(jí)audit包版本至audit-3.0-5.se.08.ky10版本。
完成升級(jí)之后��,請(qǐng)重啟audit服務(wù)�����,重啟后服務(wù)器是正常的,可通過(guò)systemctl status auditd查看����。
