**
Huawei FusionCompute产品的log4j2漏洞规避指导
**
【涉及版本】
FusionCompute版本号>=6.5.0
【漏洞修补措施】
需要通过ssh工具登录VRM管理节点,请提前准备好gandalf和root账号密码
1. 使用ssh工具登录VRM备节点,执行以下命令备份相关脚本
cp -a /opt/galax/vrm/om/analyzer/bin/service.sh /opt/galax/vrm/om/analyzer/bin/service.sh.bak
cp -a /opt/galax/vrm/om/cep/bin/service.sh /opt/galax/vrm/om/cep/bin/service.sh.bak
cp -a /opt/galax/vrm/om/fms/bin/service.sh /opt/galax/vrm/om/fms/bin/service.sh.bak
cp -a /opt/galax/vrm/om/notifysvr-s/bin/service.sh /opt/galax/vrm/om/notifysvr-s/bin/service.sh.bak
cp -a /opt/galax/vrm/om/pmc/bin/service.sh /opt/galax/vrm/om/pmc/bin/service.sh.bak
cp -a /etc/galax/portal/conf/catalina.sh /etc/galax/portal/conf/catalina.sh.bak
cp -a /opt/galax/vrm/tomcat/bin/catalina.sh /opt/galax/vrm/tomcat/bin/catalina.sh.bak
如果当前版本为8.1.1,需要同时备份start_sftp.sh,其他版本不涉及:
cp -a /opt/galax/vrm/om/sftp/bin/start_sftp.sh /opt/galax/vrm/om/sftp/bin/start_sftp.sh.bak
2. 打开并修改/etc/galax/portal/conf/catalina.sh,添加以下内容(-Dlog4j2.formatMsgNoLookups=true)
3. 打开并修改/opt/galax/vrm/om/pmc/bin/service.sh,添加以下内容(-Dlog4j2.formatMsgNoLookups=true)
4. 打开并修改/opt/galax/vrm/om/notifysvr-s/bin/service.sh,添加以下内容(-Dlog4j2.formatMsgNoLookups=true):
5. 打开并修改/opt/galax/vrm/om/fms/bin/service.sh,添加以下内容(-Dlog4j2.formatMsgNoLookups=true):
6. 打开并修改/opt/galax/vrm/om/cep/bin/service.sh,添加以下内容(-Dlog4j2.formatMsgNoLookups=true):
7. 打开并修改/opt/galax/vrm/om/analyzer/bin/service.sh,添加以下内容(-Dlog4j2.formatMsgNoLookups=true):
8. 打开并修改/opt/galax/vrm/tomcat/bin/catalina.sh,添加以下内容(-Dlog4j2.formatMsgNoLookups=true):
-
当前环境为6.5.0或6.5.1版本(包含补丁版本)
-
当前版本为8.0.0及之后版本**
9. (该步骤仅需要在8.1.1版本执行,其他版本不涉及)修改/opt/galax/vrm/om/sftp/bin/start_sftp.sh,添加红框中标注的内容(LOGGING_CONFIG=”-Dlog4j2.formatMsgNoLookups=true”):
10. 使用ssh工具登录VRM主节点,重复执行步骤1-9
11. 切换到root用户,在VRM主节点执行以下命令进行主备倒换(注:主备倒换过程中需要确保环境中没有运行中的任务,该步骤备节点不需要执行)。
sh /opt/galax/gms/common/ha/switchOverHA.sh