1、步驟1:通過不斷的在系統中執行ssh遠程連接,產生用戶登錄的audit日志;
2、步驟2:執行內存使用情況監視命令:watch -n 1 -d cat "/proc/"`ps -ef | grep -w auditd |grep -v grep | awk 'NR==1 {print $2}'`"/status"。
3、結果:內存使用情況會不斷增加,如附件audit06測試內存泄漏情況.mp4.
對比版本(audit-3.0-5)和版本(audit-3.0-5.se.06),發現audit-3.0-5版本不存在問題,即分析se.06版本添加的6個補丁,發現se.05版本中引入了計算日志分區剩余大小的計算方式,分析補丁代碼,發現有申請內存后未及時釋放的問題。
升級audit包版本至audit-3.0-5.se.08.ky10版本。
完成升級之后,請重啟audit服務,重啟后服務器是正常的,可通過systemctl status auditd查看。
