절차

1. 사용 가능한 패키지 버전을 나열합니다.

   $ dnf repoquery <package_name>

   예를 들어 사용 가능한 kernel-core 패키지 버전을 나열합니다.

   $ dnf repoquery kernel-core
   kernel-core-0:5.14.0-162.12.1.el9_1.x86_64
   kernel-core-0:5.14.0-162.18.1.el9_1.x86_64
   kernel-core-0:5.14.0-162.22.2.el9_1.x86_64
   kernel-core-0:5.14.0-162.23.1.el9_1.x86_64
   ...

2. 패키지에 있는 파일 목록을 표시합니다.

   $ dnf repoquery -l <package_name>

   예를 들어 kernel-core-0:5.14.0-162.23.1.el9_1.x86_64 패키지의 파일 목록을 표시합니다.

   $ dnf repoquery -l kernel-core-0:5.14.0-162.23.1.el9_1.x86_64
   /boot/System.map-5.14.0-162.23.1.el9_1.x86_64
   /boot/config-5.14.0-162.23.1.el9_1.x86_64
   /boot/initramfs-5.14.0-162.23.1.el9_1.x86_64.img
   /boot/symvers-5.14.0-162.23.1.el9_1.x86_64.gz
   /boot/vmlinuz-5.14.0-162.23.1.el9_1.x86_64
   /lib/modules
   /lib/modules/5.14.0-162.23.1.el9_1.x86_64
   /lib/modules/5.14.0-162.23.1.el9_1.x86_64/.vmlinuz.hmac
   /lib/modules/5.14.0-162.23.1.el9_1.x86_64/System.map
   ...

절차

1. 커널을 업데이트하려면 다음 명령을 입력합니다.

   # dnf update kernel

   이 명령은 사용 가능한 최신 버전으로 모든 종속 항목과 함께 커널을 업데이트합니다.

2. 변경 사항을 적용하려면 시스템을 재부팅합니다.

절차

1. 로드할 커널 모듈을 선택합니다.

   모듈은 /lib/modules/$(uname -r)/kernel/<SUBSYSTEM>/ 디렉터리에 있습니다.

2. 관련 커널 모듈을 로드합니다.

   # modprobe <MODULE_NAME>

   참고

   커널 모듈의 이름을 입력할 때 이름 끝에 .ko.xz 확장을 추가하지 마십시오. 커널 모듈 이름에는 확장자가 없습니다. 해당 파일에는 해당 파일이 있습니다.

절차

1. 로드된 모든 커널 모듈을 나열합니다.

   # lsmod

2. 언로드할 커널 모듈을 선택합니다.

   커널 모듈에 종속성이 있는 경우 커널 모듈을 언로드하기 전에 해당 모듈을 언로드합니다. 종속성이 있는 모듈 식별에 대한 자세한 내용은 현재 로드된 커널 모듈 및 커널 모듈 종속성 목록을 참조하십시오.

3. 관련 커널 모듈을 언로드합니다.

   # modprobe -r <MODULE_NAME>

   커널 모듈의 이름을 입력할 때 이름 끝에 .ko.xz 확장을 추가하지 마십시오. 커널 모듈 이름에는 확장자가 없습니다. 해당 파일에는 해당 파일이 있습니다.

절차

1. 시스템을 부트 로더로 부팅합니다.
2. 커서 키를 사용하여 관련 부트 로더 항목을 강조 표시합니다.

3. e 키를 눌러 항목을 편집합니다.

   그림 3.1. 커널 부팅 메뉴

   
4. 커서 키를 사용하여 linux 로 시작하는 행으로 이동합니다.

5. Append modprobe.blacklist=module_name 을 행 끝에 추가합니다.

   그림 3.2. 커널 부팅 항목

   

   serio_raw 커널 모듈은 부팅 프로세스 초기에 로드를 해제하는 악성 모듈을 보여줍니다.

6. Ctrl+X 눌러 수정된 구성을 사용하여 부팅합니다.

절차

1. 부팅 프로세스 중에 로드할 커널 모듈을 선택합니다.

   모듈은 /lib/modules/$(uname -r)/kernel/<SUBSYSTEM>/ 디렉터리에 있습니다.

2. 모듈에 대한 구성 파일을 생성합니다.

   # echo <MODULE_NAME> > /etc/modules-load.d/<MODULE_NAME>.conf

   참고

   커널 모듈의 이름을 입력할 때 이름 끝에 .ko.xz 확장을 추가하지 마십시오. 커널 모듈 이름에는 확장자가 없습니다. 해당 파일에는 해당 파일이 있습니다.

3. 필요한 경우 재부팅 후 관련 모듈이 로드되었는지 확인합니다.

   $ lsmod | grep <MODULE_NAME>

   위의 예제 명령은 성공하고 관련 커널 모듈을 표시합니다.

절차

1. lsmod 명령을 사용하여 현재 실행 중인 커널에 로드된 모듈을 나열합니다.

   $ lsmod
   Module                  Size  Used by
   tls                   131072  0
   uinput                 20480  1
   snd_seq_dummy          16384  0
   snd_hrtimer            16384  1
   …

   출력에서 로드되지 않도록 할 모듈을 식별합니다.

   • 또는 /lib/modules/ <KERNEL-VERSION> /kernel/ <SUBSYSTEM> / 디렉터리에 잠재적으로 로드되지 않도록하려는 언로드된 커널 모듈을 식별합니다. 예를 들면 다음과 같습니다.

     $ ls /lib/modules/4.18.0-477.20.1.el8_8.x86_64/kernel/crypto/
     ansi_cprng.ko.xz        chacha20poly1305.ko.xz  md4.ko.xz               serpent_generic.ko.xz
     anubis.ko.xz            cmac.ko.xz…

2. 거부 목록 역할을 하는 구성 파일을 생성합니다.

   # touch /etc/modprobe.d/denylist.conf

3. 선택한 텍스트 편집기에서 blacklist 설정 명령과 함께 커널 자동 로드에서 제외할 모듈 이름을 결합합니다.

   # Prevents <KERNEL-MODULE-1> from being loaded
   blacklist <MODULE-NAME-1>
   install <MODULE-NAME-1> /bin/false
   
   # Prevents <KERNEL-MODULE-2> from being loaded
   blacklist <MODULE-NAME-2>
   install <MODULE-NAME-2> /bin/false
   …

   blacklist 명령은 모듈이 거부 목록에 없는 다른 커널 모듈의 종속성으로 로드되지 않도록 하려면 설치 행도 정의해야 합니다. 이 경우 시스템은 모듈을 설치하는 대신 /bin/false 를 실행합니다. 해시 기호로 시작하는 행은 파일을 더 읽기 쉽게 만드는 데 사용할 수 있는 주석입니다.

   참고

   커널 모듈의 이름을 입력할 때 이름 끝에 .ko.xz 확장을 추가하지 마십시오. 커널 모듈 이름에는 확장자가 없습니다. 해당 파일에는 해당 파일이 있습니다.

4. 다시 빌드하기 전에 현재 초기 RAM 디스크 이미지의 백업 사본을 생성합니다.

   # cp /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).bak.$(date +%m-%d-%H%M%S).img

   • 또는 커널 모듈이 자동 로드되지 않도록하려는 커널 버전에 해당하는 초기 RAM 디스크 이미지의 백업 사본을 생성합니다.

     # cp /boot/initramfs-<VERSION>.img /boot/initramfs-<VERSION>.img.bak.$(date +%m-%d-%H%M%S)

5. 새 초기 RAM 디스크 이미지를 생성하여 변경 사항을 적용합니다.

   # dracut -f -v

   • 현재 시스템과 다른 커널 버전의 초기 RAM 디스크 이미지를 빌드하는 경우 target initramfs 및 커널 버전을 모두 지정합니다.

     # dracut -f -v /boot/initramfs-<TARGET-VERSION>.img <CORRESPONDING-TARGET-KERNEL-VERSION>

6. 시스템을 다시 시작하십시오.

   $ reboot

절차

1. 다음 콘텐츠를 사용하여 /root/testmodule/test.c 파일을 만듭니다.

   #include <linux/module.h>
   #include <linux/kernel.h>
   
   int init_module(void)
       { printk("Hello World\n This is a test\n"); return 0; }
   
   void cleanup_module(void)
       { printk("Good Bye World"); }
   
   MODULE_LICENSE("GPL");

   test.c 파일은 커널 모듈에 기본 기능을 제공하는 소스 파일입니다. 파일은 조직 용도로 전용 /root/testmodule/ 디렉토리에 생성되었습니다. 모듈 컴파일 후 /root/testmodule/ 디렉토리에 여러 파일이 포함됩니다.

   test.c 파일은 시스템 라이브러리에서 포함합니다.

   • 예제 코드의 printk() 함수에는 linux/kernel.h 헤더 파일이 필요합니다.
   • linux/module.h 파일에는 C 프로그래밍 언어로 작성된 여러 소스 파일 간에 공유할 함수 선언과 매크로 정의가 포함되어 있습니다.
2. init_module() 및 cleanup_module() 함수를 따라 텍스트를 출력하는 커널 로깅 함수 printk() 를 시작하고 종료합니다.

3. 다음 콘텐츠를 사용하여 /root/testmodule/Makefile 파일을 만듭니다.

   obj-m := test.o

   Makefile에는 컴파일러에서 특별히 test.o 라는 개체 파일을 생성해야 하는 명령이 포함되어 있습니다. obj-m 지시문은 결과 test.ko 파일이 로드 가능한 커널 모듈로 컴파일되도록 지정합니다. 또는 obj-y 지시문은 test.ko 를 기본 제공 커널 모듈로 빌드하도록 지시합니다.

4. 커널 모듈을 컴파일합니다.

   # make -C /lib/modules/$(uname -r)/build M=/root/testmodule modules
   make: Entering directory '/usr/src/kernels/5.14.0-70.17.1.el9_0.x86_64'
     CC [M]  /root/testmodule/test.o
     MODPOST /root/testmodule/Module.symvers
     CC [M]  /root/testmodule/test.mod.o
     LD [M]  /root/testmodule/test.ko
     BTF [M] /root/testmodule/test.ko
   Skipping BTF generation for /root/testmodule/test.ko due to unavailability of vmlinux
   make: Leaving directory '/usr/src/kernels/5.14.0-70.17.1.el9_0.x86_64'

   컴파일러는 각 소스 파일(test.c)에 대해 최종 커널 모듈(test.ko)에 연결하기 전에 중간 단계로 오브젝트 파일(test.o)을 생성합니다.

   컴파일에 성공한 후 /root/testmodule/ 에는 컴파일된 사용자 지정 커널 모듈과 관련된 추가 파일이 포함되어 있습니다. 컴파일된 모듈 자체는 test.ko 파일로 표시됩니다.

검증

1. 선택 사항: /root/testmodule/ 디렉토리의 내용을 확인합니다.

   # ls -l /root/testmodule/
   total 152
   -rw-r—​r--. 1 root root    16 Jul 26 08:19 Makefile
   -rw-r—​r--. 1 root root    25 Jul 26 08:20 modules.order
   -rw-r—​r--. 1 root root     0 Jul 26 08:20 Module.symvers
   -rw-r—​r--. 1 root root   224 Jul 26 08:18 test.c
   -rw-r—​r--. 1 root root 62176 Jul 26 08:20 test.ko
   -rw-r—​r--. 1 root root    25 Jul 26 08:20 test.mod
   -rw-r—​r--. 1 root root   849 Jul 26 08:20 test.mod.c
   -rw-r—​r--. 1 root root 50936 Jul 26 08:20 test.mod.o
   -rw-r—​r--. 1 root root 12912 Jul 26 08:20 test.o

2. kernel 모듈을 /lib/modules/$(uname -r)/ 디렉터리에 복사합니다.

   # cp /root/testmodule/test.ko /lib/modules/$(uname -r)/

3. 모듈식 종속성 목록을 업데이트합니다.

   # depmod -a

4. 커널 모듈을 로드합니다.

   # modprobe -v test
   insmod /lib/modules/5.14.0-1.el9.x86_64/test.ko

5. 커널 모듈이 성공적으로 로드되었는지 확인합니다.

   # lsmod | grep test
   test                   16384  0

6. 커널 링 버퍼에서 최신 메시지를 읽습니다.

   # dmesg
   [74422.545004] Hello World
                   This is a test

절차

1. GRUB 2 부팅 메뉴로 부팅합니다.
2. 시작할 커널을 선택합니다.
3. e 키를 눌러 커널 매개 변수를 편집합니다.
4. 커서를 아래로 이동하여 커널 명령행을 찾습니다. 커널 명령행은 64비트 IBM Power Series 및 x86-64 BIOS 기반 시스템에서 linux 로 시작되거나 UEFI 시스템에서 linuxefi 로 시작됩니다.

5. 커서를 줄의 끝으로 이동합니다.

   참고

   Ctrl+a 눌러 줄의 시작 부분으로 건너뛰고 Ctrl+e 를 눌러 줄 끝으로 건너뜁니다. 일부 시스템에서는 Home 및 End 키도 작동할 수 있습니다.

6. 필요에 따라 커널 매개 변수를 편집합니다. 예를 들어 시스템을 긴급 모드에서 실행하려면 linux 행 끝에 emergency 매개변수를 추가합니다.

   linux   ($root)/vmlinuz-5.14.0-63.el9.x86_64 root=/dev/mapper/rhel-root ro crashkernel=1G-4G:192M,4G-64G:256M,64G-:512M resume=/dev/mapper/rhel-swap rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet emergency

   시스템 메시지를 활성화하려면 rhgb 및 quiet 매개변수를 제거합니다.

7. Ctrl+x 를 눌러 선택한 커널 및 수정된 명령행 매개 변수를 사용하여 부팅합니다.

절차

1. /etc/default/grub 파일에 다음 두 행을 추가합니다.

   GRUB_TERMINAL="serial"
   GRUB_SERIAL_COMMAND="serial --speed=9600 --unit=0 --word=8 --parity=no --stop=1"

   첫 번째 줄에서는 그래픽 터미널을 비활성화합니다. GRUB_TERMINAL 키는 GRUB_TERMINAL_INPUT 및 GRUB_TERMINAL_OUTPUT 키의 값을 재정의합니다.

   두 번째 줄은 baud 속도(--speed), 패리티 및 기타 값을 사용자 환경과 하드웨어에 맞게 조정합니다. 예를 들어 115200과 같은 작업에는 훨씬 높은 세례 비율을 사용하는 것이 다음 로그 파일과 같은 작업에 적합합니다.

2. GRUB 설정 파일을 업데이트합니다.

   • BIOS 기반 시스템에서 다음을 수행합니다.

     # grub2-mkconfig -o /boot/grub2/grub.cfg

   • UEFI 기반 시스템에서 다음을 수행합니다.

     # grub2-mkconfig -o /boot/grub2/grub.cfg

3. 변경 사항을 적용하려면 시스템을 재부팅합니다.

절차

1. grubby 를 사용하여 설치 후 스크립트에서 개별 커널의 커널 매개 변수를 추가하거나 제거합니다.

   # grubby --update-kernel <PATH_TO_KERNEL> --args "<NEW_ARGUMENTS>"

   예를 들어, 선택한 커널에 noapic 매개변수를 추가합니다.

   # grubby --update-kernel /boot/vmlinuz-5.14.0-362.8.1.el9_3.x86_64 --args "noapic"

   매개변수는 BLS 스니펫으로 전파되지만 /etc/default/grub 파일에는 전달되지 않습니다.

2. /etc/default/grub 파일에 있는 GRUB_CMDLINE_LINUX 값의 콘텐츠로 BLS 스니펫을 덮어씁니다.

   # grub2-mkconfig -o /boot/grub2/grub.cfg --update-bls-cmdline
   Generating grub configuration file …​
   Adding boot menu entry for UEFI Firmware Settings …​
   done

   참고

   GRUB_TIMEOUT 키 변경( /etc/default/grub GRUB 설정 파일에 포함)과 같은 기타 변경 사항이 기본적으로 새 grub.cfg 로 전파됩니다.

검증

1. 운영 체제를 재부팅합니다.

2. 매개 변수가 /proc/cmdline 파일에 포함되어 있는지 확인합니다.

   예를 들어 /proc/cmdline 에는 noapic 커널 매개변수가 포함되어 있습니다.

   BOOT_IMAGE=(hd0,gpt2)/vmlinuz-4.18.0-425.3.1.el8.x86_64 root=/dev/mapper/RHELCSB-Root ro vconsole.keymap=us crashkernel=auto rd.lvm.lv=RHELCSB/Root rd.luks.uuid=luks-d8a28c4c-96aa-4319-be26-96896272151d rhgb quiet noapic rd.luks.key=d8a28c4c-96aa-4319-be26-96896272151d=/keyfile:UUID=c47d962e-4be8-41d6-8216-8cf7a0d3b911 ipv6.disable=1

절차

1. 모든 매개변수 및 해당 값을 나열합니다.

   # sysctl -a

   참고

   # sysctl -a 명령은 런타임 시 및 부팅 시 조정할 수 있는 커널 매개 변수를 표시합니다.

2. 일시적으로 매개변수를 구성하려면 다음을 입력합니다.

   # sysctl <TUNABLE_CLASS>.<PARAMETER>=<TARGET_VALUE>

   위의 샘플 명령은 시스템이 실행되는 동안 매개변수 값을 변경합니다. 변경 사항은 다시 시작할 필요 없이 즉시 적용됩니다.

   참고

   변경 사항은 시스템을 재부팅한 후 기본값으로 돌아갑니다.

절차

1. 모든 매개변수를 나열합니다.

   # sysctl -a

   명령은 런타임 시 구성할 수 있는 모든 커널 매개 변수를 표시합니다.

2. 매개변수를 영구적으로 설정합니다.

   # sysctl -w <TUNABLE_CLASS>.<PARAMETER>=<TARGET_VALUE> >> /etc/sysctl.conf

   샘플 명령은 조정 가능한 값을 변경하고 /etc/sysctl.conf 파일에 씁니다. 이 파일은 커널 매개변수의 기본값을 덮어씁니다. 변경 사항은 다시 시작할 필요 없이 즉시 영구적으로 적용됩니다.

절차

1. /etc/sysctl.d/ 에 새 구성 파일을 만듭니다.

   # vim /etc/sysctl.d/<some_file.conf>

2. 커널 매개변수를 행당 하나씩 포함합니다.

   <TUNABLE_CLASS>.<PARAMETER>=<TARGET_VALUE>
   <TUNABLE_CLASS>.<PARAMETER>=<TARGET_VALUE>

3. 구성 파일을 저장합니다.

4. 변경 사항을 적용하려면 시스템을 재부팅합니다.

   • 또는 재부팅하지 않고 변경 사항을 적용하려면 다음을 입력합니다.

     # sysctl -p /etc/sysctl.d/<some_file.conf>

     명령을 사용하면 이전에 만든 구성 파일에서 값을 읽을 수 있습니다.

절차

1. 구성할 커널 매개변수를 확인합니다.

   # ls -l /proc/sys/<TUNABLE_CLASS>/

   명령에서 반환한 쓰기 가능한 파일은 커널을 구성하는 데 사용할 수 있습니다. 읽기 전용 권한이 있는 파일은 현재 설정에 대한 피드백을 제공합니다.

2. 커널 매개변수에 타겟 값을 할당합니다.

   # echo <TARGET_VALUE> > /proc/sys/<TUNABLE_CLASS>/<PARAMETER>

   명령을 사용하면 시스템을 다시 시작하면 구성이 사라집니다.

3. 선택적으로 새로 설정된 커널 매개 변수의 값을 확인합니다.

   # cat /proc/sys/<TUNABLE_CLASS>/<PARAMETER>

절차

1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다.

   ---
   - name: Configure kernel settings
     hosts: managed-node-01.example.com
     roles:
       - rhel-system-roles.kernel_settings
     vars:
       kernel_settings_sysctl:
         - name: fs.file-max
           value: 400000
         - name: kernel.threads-max
           value: 65536
       kernel_settings_sysfs:
         - name: /sys/class/net/lo/mtu
           value: 65000
       kernel_settings_transparent_hugepages: madvise

   • name: 임의의 문자열을 레이블로 연결하고 플레이에 대한 항목을 식별하는 선택적 키입니다.
   • hosts: 플레이가 실행되는 호스트를 지정하는 키입니다. 이 키의 값 또는 값은 관리 호스트의 개별 이름으로 제공되거나 인벤토리 파일에 정의된 호스트 그룹으로 제공될 수 있습니다.
   • vars: 선택한 커널 매개 변수 이름 및 값을 설정해야 하는 변수 목록을 나타내는 플레이북의 섹션입니다.

   • role: vars 섹션에 언급된 매개변수 및 값을 구성하려는 RHEL 시스템 역할을 지정하는 키입니다.

     참고

     필요에 맞게 플레이북에서 커널 매개변수 및 해당 값을 수정할 수 있습니다.

2. 플레이북 구문을 확인합니다.

   $ ansible-playbook --syntax-check ~/playbook.yml

   이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

3. Playbook을 실행합니다.

   $ ansible-playbook ~/playbook.yml

4. 관리 호스트를 재시작하고 영향을 받는 커널 매개 변수를 확인하여 변경 사항이 적용되고 재부팅해도 지속되는지 확인합니다.

1. 커널 패치 모듈은 /var/lib/kpatch/ 디렉터리에 복사되고 다음 부팅 시 systemd 를 통해 커널에 다시 적용되도록 등록됩니다.
2. kpatch 모듈이 실행 중인 커널에 로드되고 새 함수가 새 코드의 메모리에 있는 위치에 대한 포인터로 ftrace 메커니즘에 등록됩니다.
3. 커널이 패치된 기능에 액세스하면 원래 기능을 우회하고 커널을 패치된 함수 버전으로 리디렉션하는 ftrace 메커니즘으로 리디렉션됩니다.

절차

1. 선택적으로 커널 버전을 확인합니다.

   # uname -r
   5.14.0-1.el9.x86_64

2. 커널 버전에 해당하는 실시간 패치 패키지를 검색합니다.

   # dnf search $(uname -r)

3. 실시간 패치 패키지를 설치합니다.

   # dnf install "kpatch-patch = $(uname -r)"

   위의 명령은 해당 특정 커널에 대해 최신 누적 라이브 패치를 설치하고 적용합니다.

   라이브 패치 패키지의 버전이 1-1 이상이면 패키지에 patch 모듈이 포함됩니다. 이 경우 라이브 패치 패키지를 설치하는 동안 커널이 자동으로 패치됩니다.

   커널 패치 모듈은 /var/lib/kpatch/ 디렉토리에 설치되어 나중에 재부팅할 때 systemd 시스템과 서비스 관리자에 의해 로드됩니다.

   참고

   지정된 커널에 대해 라이브 패치를 사용할 수 없는 경우 빈 실시간 패치 패키지가 설치됩니다. 빈 라이브 패치 패키지에는 kpatch_version-kpatch_release 가 0-0입니다(예: kpatch-patch-5_14_0-1-0.x86_64.rpm ). 빈 RPM을 설치하면 지정된 커널의 향후 모든 실시간 패치에 시스템을 서브스크립션합니다.

절차

1. 선택적으로, 설치된 모든 커널 및 현재 실행 중인 커널을 확인합니다.

   # dnf list installed | grep kernel
   Updating Subscription Management repositories.
   Installed Packages
   ...
   kernel-core.x86_64            5.14.0-1.el9              @beaker-BaseOS
   kernel-core.x86_64            5.14.0-2.el9              @@commandline
   ...
   
   # uname -r
   5.14.0-2.el9.x86_64

2. kpatch-dnf 플러그인을 설치합니다.

   # dnf install kpatch-dnf

3. 커널 라이브 패치에 대한 자동 서브스크립션을 활성화합니다.

   # dnf kpatch auto
   Updating Subscription Management repositories.
   Last metadata expiration check: 1:38:21 ago on Fri 17 Sep 2021 07:29:53 AM EDT.
   Dependencies resolved.
   ==================================================
    Package                             Architecture
   ==================================================
   Installing:
    kpatch-patch-5_14_0-1               x86_64
    kpatch-patch-5_14_0-2               x86_64
   
   Transaction Summary
   ===================================================
   Install  2 Packages
   …​

   이 명령은 현재 설치된 모든 커널을 서브스크립션하여 커널 라이브 패치를 수신합니다. 이 명령은 설치된 모든 커널에 대해 최신 누적 라이브 패치를 설치하고 적용합니다.

   나중에 커널을 업데이트하면 새 커널 설치 프로세스 중에 실시간 패치가 자동으로 설치됩니다.

   커널 패치 모듈은 /var/lib/kpatch/ 디렉토리에 설치되어 나중에 재부팅할 때 systemd 시스템과 서비스 관리자에 의해 로드됩니다.

   참고

   지정된 커널에 대해 라이브 패치를 사용할 수 없는 경우 빈 실시간 패치 패키지가 설치됩니다. 라이브 패치 패키지에는 kpatch_version-kpatch_release 가 0-0입니다(예: kpatch-patch-5_14_0-1-0.el9.x86_64.rpm ). 빈 RPM을 설치하면 지정된 커널의 향후 모든 실시간 패치에 시스템을 서브스크립션합니다.

절차

1. 선택적으로, 설치된 모든 커널 및 현재 실행 중인 커널을 확인합니다.

   # dnf list installed | grep kernel
   Updating Subscription Management repositories.
   Installed Packages
   ...
   kernel-core.x86_64            5.14.0-1.el9              @beaker-BaseOS
   kernel-core.x86_64            5.14.0-2.el9              @@commandline
   ...
   
   # uname -r
   5.14.0-2.el9.x86_64

2. 커널 라이브 패치에 대한 자동 서브스크립션을 비활성화합니다.

   # dnf kpatch manual
   Updating Subscription Management repositories.

절차

1. 라이브 패치 패키지를 선택합니다.

   # dnf list installed | grep kpatch-patch
   kpatch-patch-5_14_0-1.x86_64        0-1.el9        @@commandline
   …​

   위의 예제 출력에는 설치한 실시간 패치 패키지가 나열됩니다.

2. 라이브 패치 패키지를 제거합니다.

   # dnf remove kpatch-patch-5_14_0-1.x86_64

   실시간 패치 패키지가 제거되면 커널은 다음 재부팅까지 패치되지만 커널 패치 모듈은 디스크에서 제거됩니다. 향후 재부팅 시 해당 커널이 더 이상 패치되지 않습니다.

3. 시스템을 재부팅합니다.

4. 실시간 패치 패키지가 제거되었는지 확인합니다.

   # dnf list installed | grep kpatch-patch

   패키지가 성공적으로 제거된 경우 명령은 출력을 표시하지 않습니다.

5. 필요한 경우 커널 실시간 패치 솔루션이 비활성화되어 있는지 확인합니다.

   # kpatch list
   Loaded patch modules:

   예제 출력에서는 현재 로드된 패치 모듈이 없기 때문에 커널이 패치되지 않았으며 실시간 패치 솔루션이 활성화되지 않음을 보여줍니다.

절차

1. 커널 패치 모듈을 선택합니다.

   # kpatch list
   Loaded patch modules:
   kpatch_5_14_0_1_0_1 [enabled]
   
   Installed patch modules:
   kpatch_5_14_0_1_0_1 (5.14.0-1.el9.x86_64)
   …​

2. 선택한 커널 패치 모듈을 설치 제거합니다.

   # kpatch uninstall kpatch_5_14_0_1_0_1
   uninstalling kpatch_5_14_0_1_0_1 (5.14.0-1.el9.x86_64)

   • 제거된 커널 패치 모듈이 계속 로드되었습니다.

     # kpatch list
     Loaded patch modules:
     kpatch_5_14_0_1_0_1 [enabled]
     
     Installed patch modules:
     <NO_RESULT>

     선택한 모듈이 제거되면 커널은 다음 재부팅까지 패치되지만 커널 패치 모듈은 디스크에서 제거됩니다.

3. 시스템을 재부팅합니다.

4. 필요한 경우 커널 패치 모듈이 제거되었는지 확인합니다.

   # kpatch list
   Loaded patch modules:
   …​

   위의 예제 출력에서는 로드되거나 설치된 커널 패치 모듈이 없으므로 커널이 패치되지 않고 커널 실시간 패치 솔루션이 활성 상태가 아닙니다.

절차

1. kpatch.service 가 활성화되어 있는지 확인합니다.

   # systemctl is-enabled kpatch.service
   enabled

2. kpatch.service 를 비활성화합니다.

   # systemctl disable kpatch.service
   Removed /etc/systemd/system/multi-user.target.wants/kpatch.service.

   • 적용된 커널 패치 모듈이 계속 로드됩니다.

     # kpatch list
     Loaded patch modules:
     kpatch_5_14_0_1_0_1 [enabled]
     
     Installed patch modules:
     kpatch_5_14_0_1_0_1 (5.14.0-1.el9.x86_64)

3. 시스템을 재부팅합니다.

4. 필요한 경우 kpatch.service 의 상태를 확인합니다.

   # systemctl status kpatch.service
   ● kpatch.service - "Apply kpatch kernel patches"
      Loaded: loaded (/usr/lib/systemd/system/kpatch.service; disabled; vendor preset: disabled)
      Active: inactive (dead)

   예제 출력은 kpatch.service 가 비활성화되었으며 실행되지 않음을 나타냅니다. 따라서 커널 실시간 패치 솔루션이 활성 상태가 아닙니다.

5. 커널 패치 모듈이 언로드되었는지 확인합니다.

   # kpatch list
   Loaded patch modules:
   
   Installed patch modules:
   kpatch_5_14_0_1_0_1 (5.14.0-1.el9.x86_64)

   위의 예제 출력에서는 커널 패치 모듈이 여전히 설치되어 있지만 커널에 패치되지 않음을 보여줍니다.

1. 콘솔 로그 수준은 콘솔에 인쇄되는 메시지의 가장 낮은 우선 순위를 정의합니다.
2. 명시적 로그 수준이 첨부되지 않은 메시지의 기본 로그 수준입니다.
3. 콘솔 로그 수준에 대해 사용 가능한 가장 낮은 로그 수준 구성을 설정합니다.

4. 부팅 시 콘솔 로그 수준의 기본값을 설정합니다.

   위의 각 값은 오류 메시지를 처리하기 위한 다른 규칙을 정의합니다.

절차

1. 설치된 장치에 GRUB을 다시 설치합니다. 예를 들어 sda 가 장치인 경우 다음을 수행합니다.

   # grub2-install /dev/sda

2. 변경 사항을 적용하려면 시스템을 재부팅합니다.

   # reboot

절차

1. grub2-efi 및 shim 부트 로더 파일을 다시 설치합니다.

   # yum reinstall grub2-efi shim

2. 변경 사항을 적용하려면 시스템을 재부팅합니다.

   # reboot

절차

1. GRUB를 저장하는 디스크 파티션을 확인합니다.

   # bootlist -m normal -o
   sda1

2. 디스크 파티션에 GRUB을 다시 설치합니다.

   # grub2-install partition

   partition 을 이전 단계에서 찾은 GRUB 파티션 (예: /dev/sda1 )으로 바꿉니다.

3. 변경 사항을 적용하려면 시스템을 재부팅합니다.

   # reboot

절차

1. 구성 파일을 제거합니다.

   # rm /etc/grub.d/*
   # rm /etc/sysconfig/grub

2. 패키지를 다시 설치합니다.

   • BIOS 기반 시스템에서 다음을 입력합니다.

     # yum reinstall grub2-tools

   • UEFI 기반 시스템에서 다음을 입력합니다.

     # yum reinstall grub2-efi shim grub2-tools

3. 변경 사항을 적용하려면 grub.cfg 파일을 다시 빌드합니다.

   • BIOS 기반 시스템에서 다음을 입력합니다.

     # grub2-mkconfig -o /boot/grub2/grub.cfg

   • UEFI 기반 시스템에서 다음을 입력합니다.

     # grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg

4. GRUB 설치 절차에 따라 /boot/ 파티션에서 GRUB을 복원하십시오.

절차

1. KDUMP 필드에서 아직 활성화되지 않은 경우 kdump 를 활성화합니다.

   
2. Kdump 메모리 예약 에서 메모리 예약을 사용자 지정해야 하는 경우 Manual'을 선택합니다.

3. KDUMP 필드에서 KDUMP 필드에서 kdump 에 필요한 메모리 예약을 설정합니다.

   

절차

1. kdump 가 시스템에 설치되어 있는지 확인합니다.

   # rpm -q kexec-tools

   패키지가 설치된 경우 출력됩니다.

   # kexec-tools-2.0.22-13.el9.x86_64

   패키지가 설치되지 않은 경우 출력됩니다.

   package kexec-tools is not installed

2. 다음을 통해 kdump 및 기타 필요한 패키지를 설치합니다.

   # dnf install kexec-tools

절차

1. 크래시 커널의 기본값을 구성합니다.

   # kdumpctl reset-crashkernel --kernel=ALL

   crashkernel= 값을 구성할 때 kdump 가 활성화된 상태로 재부팅하여 구성을 테스트합니다. kdump 커널이 부팅되지 않으면 메모리 크기를 점진적으로 늘려 허용 가능한 값을 설정합니다.

2. 사용자 지정 crashkernel= 값을 사용하려면 다음을 수행합니다.

   1. 필요한 메모리 예약을 구성합니다.

      crashkernel=192M

      또는 crashkernel= <range1>:<size1>,<range2>:<size2>:<size2> 구문을 사용하여 설치된 메모리의 총 크기에 따라 예약된 메모리 양을 변수로 설정할 수 있습니다. 예를 들면 다음과 같습니다.

      crashkernel=1G-4G:192M,2G-64G:256M

      이 예제에서는 총 시스템 메모리 양이 1GB 이상이고 4GB보다 낮은 경우 192MB의 메모리를 예약합니다. 총 메모리 양이 4GB를 초과하면 kdump 용으로 256MB가 예약되어 있습니다.

   2. (선택 사항) 예약된 메모리를 끕니다.

      일부 시스템은 crashkernel 예약이 매우 초기이므로 특정 고정 오프셋이 있는 메모리를 예약해야 하며 특수 사용을 위해 일부 영역을 예약하려고 합니다. 오프셋이 설정되면 예약된 메모리가 여기에서 시작됩니다. 예약된 메모리를 오프셋하려면 다음 구문을 사용합니다.

      crashkernel=192M@16M

      이 예제에서는 16MB(실제 주소 0x01000000)부터 192MB의 메모리를 예약합니다. 0으로 오프셋하거나 값을 지정하지 않으면 kdump 에서 예약된 메모리를 자동으로 오프셋합니다. 오프셋을 마지막 값으로 지정하여 변수 메모리 예약을 설정할 때 메모리를 오프셋할 수도 있습니다. 예를 들어 crashkernel=1G-4G:192M,2G-64G:256M@16M.

   3. 부트 로더 구성을 업데이트합니다.

      # grubby --update-kernel ALL --args "crashkernel=<custom-value>"

      & lt;custom-value >에는 크래시 커널에 대해 구성한 사용자 정의 crashkernel= 값이 포함되어야 합니다.

3. 변경 사항을 적용하려면 재부팅합니다.

   # reboot

1. kdump 커널에 부팅하려면 sysrq 키를 활성화합니다.

   # echo c > /proc/sysrq-trigger

   명령을 사용하면 커널이 충돌하고 필요한 경우 커널을 재부팅합니다.

2. /etc/kdump.conf 파일을 표시하고 vmcore 파일이 대상 대상에 저장되는지 확인합니다.

절차

1. root 로서 /etc/kdump.conf 구성 파일을 편집하고 #core_collector makedumpfile -l --message-level 1 -d 31 의 시작 부분에서 해시 기호("#")를 제거합니다.
2. 크래시 덤프 파일 압축을 활성화하려면 다음을 실행합니다.

절차

1. root 로서 /etc/kdump.conf 구성 파일의 #failure_action 행의 시작 부분에서 해시 기호( # )를 제거합니다.

2. 값을 원하는 작업으로 바꿉니다.

   failure_action poweroff

절차

1. kdump 서비스를 활성화합니다.

   # kdumpctl restart

2. kdump 서비스의 상태를 확인합니다. kdumpctl 명령을 사용하면 콘솔에서 출력을 출력할 수 있습니다.

   # kdumpctl status
     kdump:Kdump is operational

   또는 systemctl 명령을 사용하는 경우 출력은 systemd 저널에 출력됩니다.

3. 커널 충돌을 시작하여 kdump 구성을 테스트합니다. sysrq-trigger 키 조합을 사용하면 커널이 충돌하고 필요한 경우 시스템을 재부팅할 수 있습니다.

   # echo c > /proc/sysrq-trigger

   커널 재부팅 시 주소-YYYY-MM-DD-HH:MM:SS/vmcore 파일이 /etc/kdump.conf 파일에 지정된 위치에 생성됩니다. 기본값은 /var/crash/ 입니다.

절차

1. 현재 실행 중인 커널에 로드된 모듈 목록을 표시합니다. 로드에서 차단할 커널 모듈을 선택합니다.

   $ lsmod
   
   Module                  Size  Used by
   fuse                  126976  3
   xt_CHECKSUM            16384  1
   ipt_MASQUERADE         16384  1
   uinput                 20480  1
   xt_conntrack           16384  1

2. /etc/sysconfig/kdump 파일에서 KDUMP_COMMANDLINE_APPEND= 변수를 업데이트합니다. 예를 들면 다음과 같습니다.

   KDUMP_COMMANDLINE_APPEND="rd.driver.blacklist=hv_vmbus,hv_storvsc,hv_utils,hv_netvsc,hid-hyperv"

   또한 modprobe.blacklist= <modules > 구성 옵션을 사용하는 다음 예제도 고려하십시오.

   KDUMP_COMMANDLINE_APPEND="modprobe.blacklist=emcp modprobe.blacklist=bnx2fc modprobe.blacklist=libfcoe modprobe.blacklist=fcoe"

3. kdump 서비스를 다시 시작하십시오.

   # systemctl restart kdump

절차

1. 추정치 crashkernel= 값을 출력합니다.

   # *kdumpctl estimate*
   
   Encrypted kdump target requires extra memory, assuming using the keyslot with minimum memory requirement
      Reserved crashkernel:    256M
      Recommended crashkernel: 652M
   
      Kernel image size:   47M
      Kernel modules size: 8M
      Initramfs size:      20M
      Runtime reservation: 64M
      LUKS required size:  512M
      Large modules: <none>
      WARNING: Current crashkernel size is lower than recommended size 652M.

2. crashkernel= 값을 늘려 필요한 메모리 양을 구성합니다.
3. 시스템을 재부팅합니다.

절차

1. crashkernel= 명령줄 매개 변수를 설치된 모든 커널에 추가합니다.

   # grubby --update-kernel=ALL --args="crashkernel=xxM"

   XXM 은 필요한 메모리(MB)입니다.

2. kdump 서비스를 활성화합니다.

   # systemctl enable --now kdump.service

절차

1. 시스템에 설치된 커널을 나열합니다.

   # ls -a /boot/vmlinuz-*
   /boot/vmlinuz-0-rescue-2930657cd0dc43c2b75db480e5e5b4a9
   /boot/vmlinuz-4.18.0-330.el8.x86_64
   /boot/vmlinuz-4.18.0-330.rt7.111.el8.x86_64

2. 시스템의 GRUB(GRUB) 설정에 특정 kdump 커널을 추가합니다.

   예를 들면 다음과 같습니다.

   # grubby --update-kernel=vmlinuz-4.18.0-330.el8.x86_64 --args="crashkernel=xxM"

   XXM 은 필요한 메모리 예약(MB)입니다.

3. kdump 서비스를 활성화합니다.

   # systemctl enable --now kdump.service

절차

1. 현재 세션에서 kdump 서비스를 중지하려면 다음을 수행합니다.

   # systemctl stop kdump.service

2. kdump 서비스를 비활성화하려면 다음을 수행합니다.

   # systemctl disable kdump.service

절차

1. final_action 을 구성하려면 /etc/kdump.conf 파일을 편집하고 다음 옵션 중 하나를 추가합니다.

   • final_action reboot
   • final_action halt
   • final_action poweroff

2. 변경 사항을 적용하려면 kdump 서비스를 다시 시작하십시오.

   # kdumpctl restart

절차:

1. 덤프가 실패하는 경우 수행할 작업을 구성하려면 /etc/kdump.conf 파일을 편집하고 failure_action 옵션 중 하나를 지정합니다.

   • failure_action reboot
   • failure_action halt
   • failure_action poweroff
   • failure_action 쉘
   • failure_action dump_to_rootfs

2. 변경 사항을 적용하려면 kdump 서비스를 다시 시작하십시오.

   # kdumpctl restart

절차

1. kexec-tools 패키지를 설치합니다.

2. crashkernel 의 기본값을 구성합니다.

   # kdumpctl reset-crashkernel --fadump=on --kernel=ALL

3. (선택 사항) 기본값 대신 부팅 메모리를 예약합니다.

   # grubby --update-kernel ALL --args="fadump=on crashkernel=xxM"

   XXM 은 필요한 메모리 크기(MB)입니다.

   참고

   부팅 구성 옵션을 지정할 때 kdump 가 활성화된 커널을 재부팅하여 구성을 테스트합니다. kdump 커널을 부팅하지 못하면 crashkernel 값을 점진적으로 늘려 적절한 값을 설정합니다.

4. 변경 사항을 적용하려면 재부팅합니다.

   # reboot

절차

1. /etc/sysctl.conf 파일에 다음 행을 추가하거나 편집하여 kdump 가 sadump 에 대해 예상대로 시작되는지 확인합니다.

   kernel.panic=0
   kernel.unknown_nmi_panic=1

   주의

   특히 kdump 후 시스템이 재부팅되지 않는지 확인하십시오. kdump 가 vmcore 파일을 저장하지 못한 후 시스템이 재부팅되면 sadump 를 호출할 수 없습니다.

2. 중지 또는 쉘 과 같이 /etc/kdump.conf 에서 failure_action 매개변수를 적절하게 설정합니다.

   failure_action shell

절차

1. 관련 리포지토리를 활성화합니다.

   # subscription-manager repos --enable baseos repository

   # subscription-manager repos --enable appstream repository

   # subscription-manager repos --enable rhel-9-for-x86_64-baseos-debug-rpms

2. 크 래시 패키지를 설치합니다.

   # dnf install crash

3. kernel-debuginfo 패키지를 설치합니다.

   # dnf install kernel-debuginfo

   kernel-debuginfo 패키지는 실행 중인 커널에 대응하고 덤프 분석에 필요한 데이터를 제공합니다.

절차

1. 크래시 유틸리티를 시작하려면 다음 두 가지 필수 매개 변수를 명령에 전달해야 합니다.

   • debug-info(연결 해제된 vmlinuz 이미지)(예: /usr/lib/debug/lib/modules/5.14.0-1.el9.x86_64/vmlinux )는 특정 kernel-debuginfo 패키지를 통해 제공됩니다.

   • 실제 vmcore 파일(예: /var/crash/127.0.0.1-2021-09-13-14:05:33/vmcore)

     결과 크래시 명령은 다음과 같습니다.

     # crash /usr/lib/debug/lib/modules/5.14.0-1.el9.x86_64/vmlinux /var/crash/127.0.0.1-2021-09-13-14:05:33/vmcore

     kdump 가 캡처한 것과 동일한 <kernel> 버전을 사용합니다.

     예 17.1. 크래시 유틸리티 실행

     다음 예제에서는 5.14.0-1.el9.x86_64 커널을 사용하여 2021년 9월 13일 오후 14:05에 생성된 코어 덤프를 분석하는 방법을 보여줍니다.

     ...
     WARNING: kernel relocated [202MB]: patching 90160 gdb minimal_symbol values
     
           KERNEL: /usr/lib/debug/lib/modules/5.14.0-1.el9.x86_64/vmlinux
         DUMPFILE: /var/crash/127.0.0.1-2021-09-13-14:05:33/vmcore  [PARTIAL DUMP]
             CPUS: 2
             DATE: Mon Sep 13 14:05:16 2021
           UPTIME: 01:03:57
     LOAD AVERAGE: 0.00, 0.00, 0.00
            TASKS: 586
         NODENAME: localhost.localdomain
          RELEASE: 5.14.0-1.el9.x86_64
          VERSION: #1 SMP Wed Aug 29 11:51:55 UTC 2018
          MACHINE: x86_64  (2904 Mhz)
           MEMORY: 2.9 GB
            PANIC: "sysrq: SysRq : Trigger a crash"
              PID: 10635
          COMMAND: "bash"
             TASK: ffff8d6c84271800  [THREAD_INFO: ffff8d6c84271800]
              CPU: 1
            STATE: TASK_RUNNING (SYSRQ)
     
     crash>

2. 대화형 프롬프트를 종료하고 크래시 를 중지하려면 exit 또는 q 를 입력합니다.

   예 17.2. 크래시 유틸리티 종료

   crash> exit
   ~]#

절차

1. 커널 Oops Analyzer 툴에 액세스합니다.

2. 커널 충돌 문제를 진단하려면 vmcore 에서 생성된 커널 oops 로그를 업로드합니다.

   • 또는 텍스트 메시지 또는 vmcore-dmesg.txt 를 입력으로 제공하여 커널 충돌 문제를 진단할 수도 있습니다.

     
3. DETECT 를 클릭하여 makedumpfile 의 정보를 기반으로 하는 oops 메시지를 알려진 솔루션과 비교합니다.

절차

1. kdump 서비스가 활성화되어 활성화되어 있는지 확인합니다.

   # systemctl is-enabled kdump.service && systemctl is-active kdump.service
   enabled
   active

   kdump 가 활성화되어 실행되지 않은 경우 필요한 구성을 모두 설정하고 kdump 서비스가 활성화되어 있는지 확인합니다.

2. 초기 kdump 기능을 사용하여 부팅 커널의 initramfs 이미지를 다시 빌드합니다.

   # dracut -f --add earlykdump

3. rd.earlykdump 커널 명령줄 매개변수를 추가합니다.

   # grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="rd.earlykdump"

4. 변경 사항을 반영하도록 시스템 재부팅

   # reboot

절차

1. 공개 키를 sb_cert.cer 파일로 내보냅니다.

   # certutil -d /etc/pki/pesign \
              -n 'Custom Secure Boot key' \
              -Lr \
              > sb_cert.cer

2. 공개 키를 MOK 목록으로 가져옵니다.

   # mokutil --import sb_cert.cer

3. 이 MOK 등록 요청에 대한 새 암호를 입력합니다.

4. 시스템을 재부팅합니다.

   shim 부트 로더는 보류 중인 MOK 키 등록 요청을 통지하고 MokManager.efi 를 시작하여 UEFI 콘솔의 등록을 완료할 수 있습니다.

5. Enroll MOK 를 선택하고, 메시지가 표시되면 이 요청과 관련된 암호를 입력하고 등록을 확인합니다.

   공개 키는 지속적인 MOK 목록에 추가됩니다.

   키가 MOK 목록에 있으면 이 키로 자동으로 .platform 키링으로 전파되고 UEFI Secure Boot가 활성화되면 후속 부팅이 수행됩니다.

절차

1. 공개 키를 sb_cert.cer 파일로 내보냅니다.

   # certutil -d /etc/pki/pesign \
              -n 'Custom Secure Boot key' \
              -Lr \
              > sb_cert.cer

2. NSS 데이터베이스에서 PKCS #12 파일로 키를 추출합니다.

   # pk12util -o sb_cert.p12 \
              -n 'Custom Secure Boot key' \
              -d /etc/pki/pesign

3. 이전 명령을 실행하면 개인 키를 암호화하는 새 암호를 입력합니다.

4. 암호화되지 않은 개인 키를 내보냅니다.

   # openssl pkcs12 \
            -in sb_cert.p12 \
            -out sb_cert.priv \
            -nocerts \
            -noenc

   중요

   암호화되지 않은 개인 키를 처리합니다.

5. 커널 모듈에 서명합니다. 다음 명령은 커널 모듈 파일의 ELF 이미지에 서명을 직접 추가합니다.

   # /usr/src/kernels/$(uname -r)/scripts/sign-file \
             sha256 \
             sb_cert.priv \
             sb_cert.cer \
             my_module.ko

검증

1. 커널 모듈 서명에 대한 정보를 표시합니다.

   # modinfo my_module.ko | grep signer
     signer:         Your Name Key

   서명에 생성 중 입력한 이름이 나열되어 있는지 확인합니다.

   참고

   첨부된 서명은 ELF 이미지에 포함되어 있지 않으며 ELF 이미지의 공식적인 부분이 아닙니다. 따라서 readelf 와 같은 유틸리티에서는 커널 모듈에 서명을 표시할 수 없습니다.

2. 모듈을 로드합니다.

   # insmod my_module.ko

3. 모듈을 제거(미로드)합니다.

   # modprobe -r my_module.ko

절차

1. 공개 키가 시스템 인증 키에 있는지 확인합니다.

   # keyctl list %:.platform

2. 커널 모듈을 원하는 커널의 extra/ 디렉터리에 복사합니다.

   # cp my_module.ko /lib/modules/$(uname -r)/extra/

3. 모듈식 종속성 목록을 업데이트합니다.

   # depmod -a

4. 커널 모듈을 로드합니다.

   # modprobe -v my_module

5. 선택적으로 부팅 시 모듈을 로드하려면 /etc/modules-loaded.d/my_module.conf 파일에 추가합니다.

   # echo "my_module" > /etc/modules-load.d/my_module.conf

절차

1. Revocation List의 현재 버전을 확인합니다.

   # fwupdmgr get-devices

   UEFI dbx 아래의 현재 버전 필드를 참조하십시오.

2. LVFS 해지 목록 리포지토리를 활성화합니다.

   # fwupdmgr enable-remote lvfs

3. 리포지토리 메타데이터를 새로 고칩니다.

   # fwupdmgr refresh

4. 취소 목록 업데이트를 적용합니다.

   • 명령줄에서 다음을 수행합니다.

     # fwupdmgr update

   • 그래픽 인터페이스에서 다음을 수행합니다.

     1. 소프트웨어 애플리케이션 열기
     2. 업데이트 탭으로 이동합니다.
     3. Secure Boot dbx Configuration Update 항목을 찾습니다.
     4. 업데이트를 클릭합니다.
5. 업데이트가 끝나면 fwupdmgr 또는 Software 가 시스템을 재부팅하도록 요청합니다. 재부팅을 확인합니다.

절차

1. Revocation List의 현재 버전을 확인합니다.

   # fwupdmgr get-devices

   UEFI dbx 아래의 현재 버전 필드를 참조하십시오.

2. RHEL에서 사용 가능한 업데이트를 나열합니다.

   # ls /usr/share/dbxtool/

3. 아키텍처의 최신 업데이트 파일을 선택합니다. 파일 이름은 다음 형식을 사용합니다.

   DBXUpdate-date-architecture.cab

4. 선택한 업데이트 파일을 설치합니다.

   # fwupdmgr install /usr/share/dbxtool/DBXUpdate-date-architecture.cab

5. 업데이트가 끝나면 fwupdmgr 에서 시스템을 재부팅하도록 요청합니다. 재부팅을 확인합니다.

절차

1. 다음 유틸리티 중 하나를 사용하여 영구 처리(예: 81000001 )가 있는 SHA-256 기본 스토리지 키로 2048비트 RSA 키를 생성합니다.

   1. tss2 패키지를 사용하여 다음을 수행합니다.

      # TPM_DEVICE=/dev/tpm0 tsscreateprimary -hi o -st
      Handle 80000000
      # TPM_DEVICE=/dev/tpm0 tssevictcontrol -hi o -ho 80000000 -hp 81000001

   2. tpm2-tools 패키지를 사용하여 다음을 수행합니다.

      # tpm2_createprimary --key-algorithm=rsa2048 --key-context=key.ctxt
      name-alg:
        value: sha256
        raw: 0xb
      …
      sym-keybits: 128
      rsa: xxxxxx…
      
      # tpm2_evictcontrol -c key.ctxt 0x81000001
      persistentHandle: 0x81000001
      action: persisted

2. key ctl add trusted < NAME > "new < KEY_LENGTH > keyhandle= <PERSISTENT-HANDLE > [options]" < KEYRING >과 함께 TPM 2.0을 사용하여 신뢰할 수 있는 키를 만듭니다. 이 예에서 영구 처리는 81000001 입니다.

   # keyctl add trusted kmk "new 32 keyhandle=0x81000001" @u
   642500861

   이 명령은 32 바이트(256비트) 길이로 kmk 라는 신뢰할 수 있는 키를 생성하여 사용자 인증 키(@u)에 배치합니다. 키 길이는 32~128바이트(256~24비트)일 수 있습니다.

3. 커널 인증 키의 현재 구조를 나열합니다.

   # keyctl show
   Session Keyring
          -3 --alswrv    500   500  keyring: ses 97833714 --alswrv 500 -1 \ keyring: uid.1000 642500861 --alswrv 500 500 \ trusted: kmk

4. 신뢰할 수 있는 키의 일련 번호를 사용하여 사용자 공간 Blob으로 키를 내보냅니다.

   # keyctl pipe 642500861 > kmk.blob

   명령은 pipe 하위 명령과 kmk 의 일련 번호를 사용합니다.

5. 사용자 공간 Blob에서 신뢰할 수 있는 키를 로드합니다.

   # keyctl add trusted kmk "load `cat kmk.blob`" @u
   268728824

6. TPM-sealed 신뢰할 수 있는 키(kmk)를 사용하는 안전한 암호화된 키를 만듭니다. 다음 구문을 따르십시오. keyctl add encrypted <NAME> "new [FORMAT] <KEY_TYPE>:<PRI Cryostat_KEY_NAME> <KEY_LENGTH>" <KEYRING > :

   # keyctl add encrypted encr-key "new trusted:kmk 32" @u
   159771175

절차

1. 임의의 숫자 시퀀스를 사용하여 사용자 키를 생성합니다.

   # keyctl add user kmk-user "$(dd if=/dev/urandom bs=1 count=32 2>/dev/null)" @u
   427069434

   이 명령은 기본 키 역할을 하고 실제 암호화된 키를 봉인하는 데 사용되는 kmk-user 라는 사용자 키를 생성합니다.

2. 이전 단계의 기본 키를 사용하여 암호화된 키를 생성합니다.

   # keyctl add encrypted encr-key "new user:kmk-user 32" @u
   1012412758

3. 선택적으로 지정된 사용자 인증 키의 모든 키를 나열합니다.

   # keyctl list @u
   2 keys in keyring:
   427069434: --alswrv  1000  1000 user: kmk-user
   1012412758: --alswrv  1000  1000 encrypted: encr-key

절차

1. 현재 부팅 항목에 대한 수정 모드에서 IMA 및 EVM을 활성화하고 사용자가 다음 커널 명령줄 매개변수를 추가하여 IMA 측정값을 수집하고 업데이트할 수 있습니다.

   # grubby --update-kernel=/boot/vmlinuz-$(uname -r) --args="ima_policy=appraise_tcb ima_appraise=fix evm=fix"

   이 명령을 사용하면 현재 부팅 항목에 대한 수정 모드에서 IMA 및 EVM을 활성화하고 사용자가 IMA 측정을 수집하고 업데이트할 수 있습니다.

   ima_policy=appraise_tcb 커널 명령줄 매개 변수를 사용하면 커널이 기본 trusted Computing Base(ECDHEB) 측정 정책 및 평가 단계를 사용합니다. 평가 단계는 이전 및 현재 측정값이 일치하지 않는 파일에 대한 액세스를 금지합니다.

2. 재부팅하여 변경 사항을 적용합니다.

3. 선택 사항: 매개변수가 커널 명령줄에 추가되었는지 확인합니다.

   # cat /proc/cmdline
   BOOT_IMAGE=(hd0,msdos1)/vmlinuz-5.14.0-1.el9.x86_64 root=/dev/mapper/rhel-root ro crashkernel=1G-4G:192M,4G-64G:256M,64G-:512M resume=/dev/mapper/rhel-swap rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet ima_policy=appraise_tcb ima_appraise=fix evm=fix

4. EVM 키를 보호하기 위해 커널 마스터 키를 생성합니다.

   # keyctl add user kmk "$(dd if=/dev/urandom bs=1 count=32 2> /dev/null)" @u
   748544121

   kmk 는 커널 공간 메모리에 전적으로 유지됩니다. kmk 의 32바이트 긴 값은 /dev/urandom 파일에서 임의의 바이트에서 생성되고 사용자(@u) 인증 키에 배치됩니다. 키 일련 번호는 이전 출력의 첫 번째 행에 있습니다.

5. kmk 를 기반으로 암호화된 EVM 키를 만듭니다.

   # keyctl add encrypted evm-key "new user:kmk 64" @u
   641780271

   명령은 kmk 를 사용하여 64바이트 긴 사용자 키( evm-key)를 생성하고 암호화하여 사용자(@u) 인증 키에 배치합니다. 키 일련 번호는 이전 출력의 첫 번째 행에 있습니다.

   중요

   EVM 하위 시스템 이름이 예상하고 있으므로 사용자 키 이름을 evm-key 로 지정해야 합니다.

6. 내보낸 키의 디렉터리를 만듭니다.

   # mkdir -p /etc/keys/

7. kmk 를 검색하고 암호화되지 않은 값을 새 디렉터리로 내보냅니다.

   # keyctl pipe $(keyctl search @u user kmk) > /etc/keys/kmk

8. evm-key 를 검색하고 암호화된 값을 새 디렉터리로 내보냅니다.

   # keyctl pipe $(keyctl search @u encrypted evm-key) > /etc/keys/evm-key

   evm-key 는 이전에 커널 마스터 키로 암호화되었습니다.

9. 선택 사항: 새로 생성된 키를 확인합니다.

   # keyctl show
   Session Keyring
   974575405   --alswrv     0        0      keyring: ses 299489774 --alswrv 0 65534 \ keyring: uid.0 748544121 --alswrv 0 0 \ user: kmk
   641780271   --alswrv     0        0           \_ encrypted: evm-key
   
   # ls -l /etc/keys/
   total 8
   -rw-r--r--. 1 root root 246 Jun 24 12:44 evm-key
   -rw-r--r--. 1 root root  32 Jun 24 12:43 kmk

10. 선택 사항: 예를 들어 시스템을 재부팅한 후 인증 키에서 키가 제거된 경우 새 키를 생성하는 대신 이미 내보낸 kmk 및 evm-key 를 가져올 수 있습니다.

    1. kmk 를 가져옵니다.

       # keyctl add user kmk "$(cat /etc/keys/kmk)" @u
       451342217

    2. evm-key 를 가져옵니다.

       # keyctl add encrypted evm-key "load $(cat /etc/keys/evm-key)" @u
       924537557

11. EVM을 활성화합니다.

    # echo 1 > /sys/kernel/security/evm

12. 전체 시스템의 레이블을 다시 지정합니다.

    # find / -fstype xfs -type f -uid 0 -exec head -n 1 '{}' >/dev/null \;

    주의

    시스템의 레이블을 다시 지정하지 않고 IMA 및 EVM을 활성화하면 시스템의 대부분의 파일에 액세스할 수 없게 될 수 있습니다.

절차

1. 테스트 파일을 생성합니다.

   # echo <Test_text> > test_file

   IMA 및 EVM은 test_file 예제 파일에 확장 속성으로 저장된 해시 값을 할당했는지 확인합니다.

2. 파일의 확장 속성을 검사합니다.

   # getfattr -m . -d test_file
   # file: test_file
   security.evm=0sAnDIy4VPA0HArpPO/EqiutnNyBql
   security.ima=0sAQOEDeuUnWzwwKYk+n66h/vby3eD

   예제 출력에는 IMA 및 EVM 해시 값과 SELinux 컨텍스트가 포함된 확장된 속성이 표시되어 있습니다. EVM은 다른 특성과 관련된 security.evm extended 속성을 추가합니다. 이 시점에서 security.evm 에서 evmctl 유틸리티를 사용하여 RSA 기반 디지털 서명 또는 HMAC-SHA1( Hash-based Message Authentication Code)을 생성할 수 있습니다.

절차

1. rpm-plugin-ima 플러그인을 설치하려면 다음을 실행합니다.

   # dnf install rpm-plugin-ima -y

2. 모든 패키지를 다시 설치하려면 다음을 실행합니다.

   # dnf reinstall “*” -y

검증

1. 다시 설치한 패키지 파일에 유효한 IMA 서명이 있는지 확인합니다. 예를 들어 /usr/bin/bash 파일의 IMA 서명을 확인하려면 다음을 실행합니다.

   # getfattr -m security.ima -d /usr/bin/bash
   security.ima=0sAwIE0zIESQBnMGUCMFhf0iBeM7NjjhCCHVt4/ORx1eCegjrWSHzFbJMCsAhR9bYU2hNGjiWUYT2IIqWaaAIxALFGUkqGP5vDLuxQXibO9g7HFcfyZzRBY4rbKPsXcAIZRtDHVS5dQBZqM3hyS5v1MA==

2. 지정된 인증서를 사용하여 IMA 서명이 있는지 확인합니다. IMA 코드 서명 키는 /usr/share/doc/kernel-keys/$(uname -r)/ima.cer 에서 액세스할 수 있습니다.

   # evmctl ima_verify -k /usr/share/doc/kernel-keys/$(uname -r)/ima.cer /usr/bin/bash
   key 1: d3320449 /usr/share/doc/kernel-keys/5.14.0-359.el9.x86-64/ima.cer
   /usr/bin/bash: verification is OK

절차

1. Red Hat IMA 코드 서명 키를 /etc/ima/keys 파일에 복사하려면 다음을 실행합니다.

   $ mkdir -p /etc/keys/ima
   $ cp /usr/share/doc/kernel-keys/$(uname -r)/ima.cer /etc/ima/keys

2. IMA 코드 서명 키를 .ima 인증 키에 추가하려면 다음을 실행합니다.

   # keyctl padd asymmetric RedHat-IMA %:.ima < /etc/ima/keys/ima.cer

3. 위협 모델에 따라 /etc/sysconfig/ima-policy 파일에 IMA 정책을 정의합니다. 예를 들어 다음 IMA 정책은 실행 파일과 관련 메모리 매핑 라이브러리 파일의 무결성을 확인합니다.

   # PROC_SUPER_MAGIC = 0x9fa0
   dont_appraise fsmagic=0x9fa0
   # SYSFS_MAGIC = 0x62656572
   dont_appraise fsmagic=0x62656572
   # DEBUGFS_MAGIC = 0x64626720
   dont_appraise fsmagic=0x64626720
   # TMPFS_MAGIC = 0x01021994
   dont_appraise fsmagic=0x1021994
   # RAMFS_MAGIC
   dont_appraise fsmagic=0x858458f6
   # DEVPTS_SUPER_MAGIC=0x1cd1
   dont_appraise fsmagic=0x1cd1
   # BINFMTFS_MAGIC=0x42494e4d
   dont_appraise fsmagic=0x42494e4d
   # SECURITYFS_MAGIC=0x73636673
   dont_appraise fsmagic=0x73636673
   # SELINUX_MAGIC=0xf97cff8c
   dont_appraise fsmagic=0xf97cff8c
   # SMACK_MAGIC=0x43415d53
   dont_appraise fsmagic=0x43415d53
   # NSFS_MAGIC=0x6e736673
   dont_appraise fsmagic=0x6e736673
   # EFIVARFS_MAGIC
   dont_appraise fsmagic=0xde5e81e4
   # CGROUP_SUPER_MAGIC=0x27e0eb
   dont_appraise fsmagic=0x27e0eb
   # CGROUP2_SUPER_MAGIC=0x63677270
   dont_appraise fsmagic=0x63677270
   appraise func=BPRM_CHECK
   appraise func=FILE_MMAP mask=MAY_EXEC

4. 커널이 이 IMA 정책을 수락하는지 확인하기 위해 IMA 정책을 로드하려면 다음을 실행합니다.

   # echo /etc/sysconfig/ima-policy > /sys/kernel/security/ima/policy
   # echo $?
   0

5. dracut 무결성 모듈이 IMA 코드 서명 키와 IMA 정책을 자동으로 로드하도록 활성화하려면 다음을 실행합니다.

   # echo 'add_dracutmodules+=" integrity "' > /etc/dracut.conf.d/98-integrity.conf
   # dracut -f

절차

1. 사용자 정의 IMA CA 키 쌍을 생성하려면 다음을 실행합니다.

   # openssl req -new -x509 -utf8 -sha256 -days 3650 -batch -config ima_ca.conf -outform DER -out custom_ima_ca.der -keyout custom_ima_ca.priv

2. 선택 사항: ima_ca.conf 파일의 내용을 확인하려면 다음을 실행합니다.

   # cat ima_ca.conf
   [ req ]
   default_bits = 2048
   distinguished_name = req_distinguished_name
   prompt = no
   string_mask = utf8only
   x509_extensions = ca
   
   [ req_distinguished_name ]
   O = YOUR_ORG
   CN =  YOUR_COMMON_NAME IMA CA
   emailAddress = YOUR_EMAIL
   
   [ ca ]
   basicConstraints=critical,CA:TRUE
   subjectKeyIdentifier=hash
   authorityKeyIdentifier=keyid:always,issuer
   keyUsage=critical,keyCertSign,cRLSign

3. IMA 코드 서명 키에 대한 개인 키 및 CSR(인증서 서명 요청)을 생성하려면 다음을 실행합니다.

   # openssl req -new -utf8 -sha256 -days 365 -batch -config ima.conf -out custom_ima.csr -keyout custom_ima.priv

4. 선택 사항: ima.conf 파일의 내용을 확인하려면 다음을 실행합니다.

   # cat ima.conf
   [ req ]
   default_bits = 2048
   distinguished_name = req_distinguished_name
   prompt = no
   string_mask = utf8only
   x509_extensions = code_signing
   
   [ req_distinguished_name ]
   O = YOUR_ORG
   CN = YOUR_COMMON_NAME IMA signing key
   emailAddress = YOUR_EMAIL
   
   [ code_signing ]
   basicConstraints=critical,CA:FALSE
   keyUsage=digitalSignature
   subjectKeyIdentifier=hash
   authorityKeyIdentifier=keyid:always,issuer

5. IMA CA 개인 키를 사용하여 CSR에 서명하여 IMA 코드 서명 인증서를 생성합니다.

   # openssl x509 -req -in custom_ima.csr -days 365 -extfile ima.conf -extensions code_signing -CA custom_ima_ca.der -CAkey custom_ima_ca.priv -CAcreateserial -outform DER -out ima.der

절차

1. Secure Boot를 활성화합니다.

2. ima_policy=secure_boot 커널 매개변수를 영구적으로 추가합니다.

   자세한 내용은 sysctl을 사용하여 커널 매개변수 구성을 참조하십시오.

3. 명령을 실행하여 IMA 정책을 준비합니다.

   # evmctl ima_sign /etc/sysconfig/ima-policy -k <PATH_TO_YOUR_CUSTOM_IMA_KEY>
   Place your public certificate under /etc/keys/ima/ and add it to the .ima keyring

4. 명령을 실행하여 사용자 정의 IMA 코드 서명 키를 사용하여 정책에 서명합니다.

   # keyctl padd asymmetric CUSTOM_IMA1 %:.ima < /etc/ima/keys/my_ima.cer

5. 명령을 실행하여 IMA 정책을 로드합니다.

   # echo /etc/sysconfig/ima-policy > /sys/kernel/security/ima/policy
   # echo $?
   0

1. 선택한 서비스에 할당된 값을 확인합니다.

   # systemctl show --property <unit file option> <service name>

2. CPU 시간 할당 정책 옵션의 필요한 값을 설정합니다.

   # systemctl set-property <service name> <unit file option>=<value>

절차

1. 프로세스가 속하는 cgroup 을 보려면 # cat proc/<PID>/cgroup 명령을 실행합니다.

   # cat /proc/2467/cgroup
   0::/system.slice/example.service

   예제 출력은 관심 있는 프로세스와 관련이 있습니다. 이 경우 PID 2467 로 식별되는 프로세스입니다. 이 프로세스는 example.service 유닛에 속합니다. systemd 장치 파일 사양에 정의된 대로 프로세스가 올바른 제어 그룹에 배치되었는지 여부를 확인할 수 있습니다.

2. cgroup에서 사용하는 컨트롤러 및 해당 구성 파일을 표시하려면 cgroup 디렉터리를 확인합니다.

   # cat /sys/fs/cgroup/system.slice/example.service/cgroup.controllers
   memory pids
   
   # ls /sys/fs/cgroup/system.slice/example.service/
   cgroup.controllers
   cgroup.events
   …​
   cpu.pressure
   cpu.stat
   io.pressure
   memory.current
   memory.events
   …​
   pids.current
   pids.events
   pids.max

절차

1. systemd-cgtop 명령을 사용하여 현재 cgroups 의 동적 계정을 표시합니다.

   # systemd-cgtop
   Control Group                            Tasks   %CPU   Memory  Input/s Output/s
   /                                          607   29.8     1.5G        -        -
   /system.slice                              125      -   428.7M        -        -
   /system.slice/ModemManager.service           3      -     8.6M        -        -
   /system.slice/NetworkManager.service         3      -    12.8M        -        -
   /system.slice/accounts-daemon.service        3      -     1.8M        -        -
   /system.slice/boot.mount                     -      -    48.0K        -        -
   /system.slice/chronyd.service                1      -     2.0M        -        -
   /system.slice/cockpit.socket                 -      -     1.3M        -        -
   /system.slice/colord.service                 3      -     3.5M        -        -
   /system.slice/crond.service                  1      -     1.8M        -        -
   /system.slice/cups.service                   1      -     3.1M        -        -
   /system.slice/dev-hugepages.mount            -      -   244.0K        -        -
   /system.slice/dev-mapper-rhel\x2dswap.swap   -      -   912.0K        -        -
   /system.slice/dev-mqueue.mount               -      -    48.0K        -        -
   /system.slice/example.service                2      -     2.0M        -        -
   /system.slice/firewalld.service              2      -    28.8M        -        -
   ...

   예제 출력에는 현재 리소스 사용량(CPU, 메모리, 디스크 I/O 로드)에 의해 주문되는 cgroup 이 실행 중으로 표시됩니다. 이 목록은 기본적으로 1초마다 새로 고쳐집니다. 따라서 각 제어 그룹의 실제 리소스 사용에 대한 동적 인 통찰력을 제공합니다.

절차

1. /usr/lib/systemd/system/example.service 파일을 편집하여 서비스의 메모리 사용량을 제한합니다.

   …​
   [Service]
   MemoryMax=1500K
   …​

   구성은 제어 그룹의 프로세스가 초과할 수 없는 최대 메모리를 제한합니다. example.service 서비스는 제한 사항이 적용된 이러한 제어 그룹의 일부입니다. K, M, G 또는 T 접미사를 사용하여 Kilo바이트, 메가바이트, 기가바이트 또는 Terabyte를 측정 단위로 확인할 수 있습니다.

2. 모든 장치 구성 파일을 다시 로드합니다.

   # systemctl daemon-reload

3. 서비스를 다시 시작하십시오.

   # systemctl restart example.service

검증

1. 변경 사항이 적용되는지 확인합니다.

   # cat /sys/fs/cgroup/system.slice/example.service/memory.max
   1536000

   예제 출력에서는 메모리 사용량이 약 1,500KB로 제한되었음을 보여줍니다.

1. 선택한 서비스에서 CPUAffinity 유닛 파일 옵션 값을 확인합니다.

   $ systemctl show --property <CPU affinity configuration option> <service name>

2. root 사용자로 선호도 마스크로 사용되는 CPU 범위에 대한 CPUAffinity 장치 파일 옵션의 필요한 값을 설정합니다.

   # systemctl set-property <service name> CPUAffinity=<value>

3. 서비스를 다시 시작하여 변경 사항을 적용합니다.

   # systemctl restart <service name>

1. /etc/systemd/system.conf 파일의 [Manager] 섹션에서 CPUAffinity= 옵션의 CPU 번호를 설정합니다.

2. 편집한 파일을 저장하고 systemd 서비스를 다시 로드합니다.

   # systemctl daemon-reload

3. 서버를 재부팅하여 변경 사항을 적용합니다.

1. 선택한 서비스에서 NUMAPolicy 장치 파일 옵션 값을 확인합니다.

   $ systemctl show --property <NUMA policy configuration option> <service name>

2. root로 NUMAPolicy 장치 파일 옵션의 필요한 정책 유형을 설정합니다.

   # systemctl set-property <service name> NUMAPolicy=<value>

3. 서비스를 다시 시작하여 변경 사항을 적용합니다.

   # systemctl restart <service name>

1. /etc/systemd/system.conf 파일에서 파일의 [Manager] 섹션에서 NUMAPolicy 옵션을 검색합니다.
2. 정책 유형을 편집하고 파일을 저장합니다.

3. systemd 구성을 다시 로드합니다.

   # systemd daemon-reload

4. 서버를 재부팅합니다.