Tại sao Magic SysRq không được bật theo mặc định trên một số hệ thống? Có rủi ro không?

8

Trong khi xử lý sự cố máy chủ Oracle Linux 6.3 (Đạo hàm RHEL), tôi đã thử sử dụng một số lệnh Magic SysRq Key lần đầu tiên. Không có may mắn như vậy nên tôi phải khó khởi động lại. Khi nó xuất hiện trở lại, tôi đã kiểm tra xem SysRq đã được bật chưa ...

> sysctl kernel.sysrq
kernel.sysrq = 0

Nhưng trên các hệ thống Oracle Linux 7.2 (RHEL Derivative) của chúng tôi ...

> sysctl kernel.sysrq
kernel.sysrq = 16

Nhìn vào Tài liệu Kernel cho sysrq :

0 - disable sysrq completely
1 - enable all functions of sysrq
>1 - bitmask of allowed sysrq functions (see below for detailed function
description):
     2 =   0x2 - enable control of console logging level
     4 =   0x4 - enable control of keyboard (SAK, unraw)
     8 =   0x8 - enable debugging dumps of processes etc.
    16 =  0x10 - enable sync command
    32 =  0x20 - enable remount read-only
    64 =  0x40 - enable signalling of processes (term, kill, oom-kill)
   128 =  0x80 - allow reboot/poweroff
   256 = 0x100 - allow nicing of all RT tasks

Theo QA của Fedora cho Sysrq :

Các hạt nhân Stock Fedora và RHEL có chức năng này được kích hoạt vào thời gian biên dịch, nhưng các bản phân phối sẽ vô hiệu hóa nó khi khởi động, theo mặc định, sử dụng sysctl.conf.

Kích hoạt chức năng này theo mặc định trên tất cả các hệ thống của chúng tôi có vẻ là một ý tưởng tốt. Nếu cơ hội hệ thống bị khóa, ít nhất bạn có thể tắt nó một cách duyên dáng.

Những câu hỏi của tôi...

  1. Nếu đó rõ ràng là một ý tưởng tốt, tại sao tính năng này bị vô hiệu hóa trong 6.X và bị hạn chế chỉ đồng bộ hóa hệ thống tệp trong 7.X?
  2. Có bất kỳ rủi ro trong việc thiết kernel.sysrqđể 1trên tất cả các hệ thống của chúng tôi?
fedora  rhel  kernel  oracle-linux  magic-sysrq 
Caesar Kabalan
nguồn

Câu trả lời:

3

Bạn có thể không muốn một người ngẫu nhiên nào đó có thể đi lên bàn phím và đặt lại máy, hoặc thậm chí tệ hơn, bắt đầu in các thanh ghi, syslog hoặc tất cả các tác vụ lên bàn điều khiển, mà không cần đăng nhập. Đây là vấn đề bảo mật tiềm ẩn.

Tôi chọn lọc kích hoạt nó, ví dụ, trên phần cứng trong trung tâm dữ liệu của chúng tôi được nối với một bộ tập trung bàn điều khiển nối tiếp. Tôi vô hiệu hóa nó trên máy trạm người dùng cuối của chúng tôi.

jsbillings
nguồn
Cám ơn phản hồi của bạn. Tôi đã chấp nhận nó như là câu trả lời. Trong bối cảnh của câu hỏi này, bàn điều khiển là bàn điều khiển VM, nhưng bạn nói đúng, nó cung cấp cho người không đăng nhập hệ thống để có quyền truy cập theo cách nào đó để kiểm soát hệ thống (đầu ra nhật ký, khởi động lại, v.v.) và một rủi ro bảo mật.
Caesar Kabalan
Tại sao khởi động lại sau đó được cho phép theo mặc định?
neverMind9
Có lẽ là do hiệu trưởng ít ngạc nhiên nhất. Tôi tắt nó trên hệ thống kiosk. Khởi động lại an toàn khởi động lại máy tính (hoặc ít nhất là thử) trong khi thiết lập lại sysrq thì không.
jsbillings
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.