CVE-2021-3695漏洞修复后服务异常踩坑记录
漏洞背景
最近在处理服务器安全加固时,遇到了CVE-2021-3695这个经典的内核权限提升漏洞。该漏洞影响Linux内核4.18及更高版本的内核,攻击者可利用它实现从普通用户到root的提权。
修复过程
按照官方安全公告,我们执行了以下命令进行内核更新:
# Ubuntu系统更新
sudo apt update && sudo apt upgrade linux-image-$(uname -r)
# 或者CentOS系统
sudo yum update kernel
更新完成后,我们通过dmesg | grep -i 'security'和cat /proc/sys/kernel/kptr_restrict等命令确认内核参数已生效。
真正的坑点
然而,修复后却发现SSH服务出现异常。具体表现为:
- SSH连接超时
- 服务日志显示权限拒绝错误
systemctl status sshd提示服务状态异常
复现步骤
- 在受影响的Ubuntu服务器上执行漏洞修复命令
- 重启系统后尝试SSH登录
- 查看日志:
journalctl -u ssh.service | grep -i 'permission denied'
根本原因
经过排查,问题出在内核安全模块的改动上。新内核版本默认启用了更严格的Yama安全子系统,导致SSH服务在访问某些文件时被拒绝。具体来说,/etc/ssh/sshd_config中的配置被新内核的安全策略拦截。
解决方案
最终通过以下配置修复:
# 临时解决方案
sudo sysctl -w kernel.yama.ptrace_scope=0
# 永久解决方案
echo 'kernel.yama.ptrace_scope = 0' >> /etc/sysctl.conf
总结
这个漏洞修复提醒我们,内核安全更新虽然能提升系统安全性,但可能带来意想不到的兼容性问题。建议在生产环境进行此类升级前,先在测试环境中充分验证服务的正常运行。
讨论