Kā pārbaudīt un ielāpīt centrālā procesora ievainojamību Linux
Meltdown ir mikroshēmas līmeņa drošības ievainojamība, kas pārtrauc visbūtiskāko izolāciju starp lietotāju programmām un operētājsistēmu. Tas ļauj programmai piekļūt operētājsistēmas kodola un citu programmu privātās atmiņas apgabaliem un, iespējams, nozagt sensitīvus datus, piemēram, paroles, šifrēšanas atslēgas un citus noslēpumus.
Spectre ir mikroshēmas līmeņa drošības kļūda, kas pārtrauc izolāciju starp dažādām programmām. Tas ļauj hakeriem mānīt programmas bez kļūdām nopludināt savus sensitīvos datus.
Šie trūkumi ietekmē mobilās ierīces, personālos datorus un mākoņu sistēmas; atkarībā no mākoņa nodrošinātāja infrastruktūras, iespējams, būs iespējams piekļūt/nozagt citu klientu datus.
Mēs nonācām pie noderīga apvalka skripta, kas skenē jūsu Linux sistēmu, lai pārbaudītu, vai jūsu kodolā ir ieviesti zināmie pareizie ierobežojumi pret Meltdown un Spectre uzbrukumiem.
specter-meltdown-checker ir vienkāršs čaulas skripts, lai pārbaudītu, vai jūsu Linux sistēma ir neaizsargāta pret 3 “spekulatīvās izpildes” CVE (Common Vulnerability and Exposures), kas tika publiskoti šī gada sākumā. Tiklīdz jūs to palaidīsit, tas pārbaudīs jūsu pašreizējo kodolu.
Ja esat instalējis vairākus kodolus un vēlaties pārbaudīt kodolu, kuru nedarbojat, komandrindā varat norādīt kodola attēlu.
Tas ievērojami centīsies atklāt mazinājumus, ieskaitot aizmugurē ieliktus ne-vaniļas plāksterus, neņemot vērā sistēmā reklamēto kodola versijas numuru. Ņemiet vērā, ka jums vajadzētu palaist šo skriptu ar root tiesībām, lai iegūtu precīzu informāciju, izmantojot komandu sudo.
$ git clone https://github.com/speed47/spectre-meltdown-checker.git $ cd spectre-meltdown-checker/ $ sudo ./spectre-meltdown-checker.sh
No iepriekšminētās skenēšanas rezultātiem mūsu testa kodols ir neaizsargāts pret 3 CVE. Turklāt šeit ir daži svarīgi punkti, kas jāatzīmē par šīm procesora kļūdām:
- Ja jūsu sistēmai ir neaizsargāts procesors un tā darbojas neizpildītu kodolu, nav droši strādāt ar sensitīvu informāciju, ja nav iespējas nopludināt informāciju.
- Par laimi ir programmatūras ielāpi pret Meltdown un Spectre, sīkāka informācija ir sniegta Meltdown un Spectre pētījumu mājaslapā.
Jaunākie Linux kodoli ir pārveidoti, lai novērstu šo procesora drošības kļūdu. Tādēļ atjauniniet kodola versiju un reboot serveri, lai lietotu atjauninājumus, kā parādīts.
$ sudo yum update [On CentOS/RHEL] $ sudo dnf update [On Fedora] $ sudo apt-get update [On Debian/Ubuntu] # pacman -Syu [On Arch Linux]
Pēc atsāknēšanas noteikti vēlreiz skenējiet ar skriptu spectre-meltdown-checker.sh.
CVE kopsavilkumu varat atrast Github repozitorijā, kas saistīts ar izkropļojuma pārbaudi.