天问

/run/systemd/session 安全清理

1、案情回顾

今天发现一个很有趣的现象,执行系统更新的时候:

sudo yum update

提示说空间不足,可事实上磁盘还没用一半,于是就仔细检查一下分区:

发现系统分区 /run 下面磁盘已经满了,而我的其他服务器却没有这个问题。说明这个 /run 分区有问题。接下来查看一下发现:

大部分磁盘空间都是被 systemd 这个系统服务使用了,里面 /run/systemd/session 存在着无穷无尽的 session,顿感不妙,是否存在大量的非法登录?

大概看了下,每个阶段都有登录记录,不过系统并没有发现任何破坏的痕迹。这台服务器我已经买了快10年,小破旧来形容不为过。不过我会定时更新打补丁,算是很安全的。

2、解决方案:

(1)删除所有session

有些人觉得 systemd 是系统服务,删除里面的文件是否导致系统出问题。我告诉你完全可以删,要杀伐果断:

sudo rm -rf

通过这个命令还无法删除,提示的意思是 list 太长,也就是文件太多,所以得一部分一部分删除,请看下图:

删除之后,可以发现 /run 分区顿时清爽了很多。

(2)系统打好补丁

执行: sudo yum update

接下来你就可以发现 systemd 确实需要更新了,更新之后,系统漏洞也就修复了。

(3)题外话

当然还有很多小白遇到这种安全问题就提心吊胆的,那么你可以去买阿里云盾,我体验过这东西,会在每个阿里云主机中安装一个监控程序:

阿里云监控:
sudo /usr/local/cloudmonitor/wrapper/bin/cloudmonitor.sh stop|start

/usr/sbin/aliyun-service stop

阿里云Dun:
sudo service aegis stop  #停止服务
chkconfig --del aegis  # 删除服务

不过我是禁用的,我喜欢自由。。。其实修复linux漏洞的最佳方法就是及时更新系统即使你买了阿里云盾,它并不会自动帮你修复漏洞。阿里云盾即时发来的漏洞提醒短信如果你没认真对待,一样会被入侵的可能。

博客地址:http://blog.yoqi.me/?p=17373
扫我捐助哦
喜欢 4

这篇文章有1条评论

  1. 五月的月亮 2021/5/2 #1 [REPLY]

    /run/systemd/session 很多是中毒了吗?

发表评论