Основано на информации от товарища n3k0nation (ZG) и дополнено мной
По факту это три уязвимости. Их нужно боятся, если у вас виртуальный сервер или же вы хостер, который предоставляет виртуальные сервера в аренду. Для тех, у кого выделенный сервер боятся нечего, а подобные патчи лишь уменьшают производительность…
Список уязвимых процессоров:
Версии ядра популярных дистрибутивов, начиная с которых присутствуют патчи для устранения уязвимостей:
Также ряд хостеров поставляет в своих образах ядра, которые им же и модифицированы, например OVH. В таком случае версия ядра может отличатся о тех, которые описаны выше и там уже могут быть вшиты эти патчи.
Для того чтобы проверить вашу систему берём специальный bash скрипт:
Сохраняем к себе на сервер и выполняем (от root):
Если ваш сервер уязвим, то будет написано VULNERABLE, если нет, то NOT VULNERABLE соответственно.
ВНИМАНИЕ! Дальнейшие действия только для владельцев выделенных серверов, т.к эти уязвимости не несут никакой опасности для них (как и написано выше) и патчи, которые их закрывают можно смело отключить.
ВНИМАНИЕ! Если вы не понимаете, что делаете, то действовать самостоятельно не рекомендуется! Прежде чем редактировать загрузчик рекомендую проверить наличие VNC/KVM консоли, дабы в случае проблем с загрузкой сервера вы смогли зайти и вернуть всё обратно. Никто кроме вас не несёт ответственности за последствия. Все действия вы совершаете на свой страх и риск.
Итак, для того, чтобы отключить патчи необходимо добавить два аргумента в загрузчик ядра
Редактируем файл: /etc/default/grub
Нужный нам параметр:
Добавляем в конец
должно получится так:
(где .............. аргументы, которые там были изначально)
Например так:
Затем:
перегружаем сервер.
Проверяем утилитой spectre-meltdown-checker.sh, что сервер уязвим (VULNERABLE) по всем 3 вариантам, а значит патчи успешно отключены.
По факту это три уязвимости. Их нужно боятся, если у вас виртуальный сервер или же вы хостер, который предоставляет виртуальные сервера в аренду. Для тех, у кого выделенный сервер боятся нечего, а подобные патчи лишь уменьшают производительность…
Список уязвимых процессоров:
Версии ядра популярных дистрибутивов, начиная с которых присутствуют патчи для устранения уязвимостей:
Код:
RHEL 6/ CentOS 6 - 2.6.32-696.18.7
RHEL 7/ CentOS 7 - 3.10.0-693.11.6
Debian 7 - 3.2.0-5-amd64
Debian 8 - 3.16.0-5-amd6
Debian 9 - 4.9.0-5-amd64
Ubuntu 14.04 - 3.13.0-139-generic
Ubuntu 16.04 - 4.4.0-109-generic/ 4.13.0-26-generic
Ubuntu 17.10 - 4.13.0-25-genericТакже ряд хостеров поставляет в своих образах ядра, которые им же и модифицированы, например OVH. В таком случае версия ядра может отличатся о тех, которые описаны выше и там уже могут быть вшиты эти патчи.
Для того чтобы проверить вашу систему берём специальный bash скрипт:
Сохраняем к себе на сервер и выполняем (от root):
Код:
sh spectre-meltdown-checker.shЕсли ваш сервер уязвим, то будет написано VULNERABLE, если нет, то NOT VULNERABLE соответственно.
ВНИМАНИЕ! Дальнейшие действия только для владельцев выделенных серверов, т.к эти уязвимости не несут никакой опасности для них (как и написано выше) и патчи, которые их закрывают можно смело отключить.
ВНИМАНИЕ! Если вы не понимаете, что делаете, то действовать самостоятельно не рекомендуется! Прежде чем редактировать загрузчик рекомендую проверить наличие VNC/KVM консоли, дабы в случае проблем с загрузкой сервера вы смогли зайти и вернуть всё обратно. Никто кроме вас не несёт ответственности за последствия. Все действия вы совершаете на свой страх и риск.
Итак, для того, чтобы отключить патчи необходимо добавить два аргумента в загрузчик ядра
Редактируем файл: /etc/default/grub
Нужный нам параметр:
Код:
GRUB_CMDLINE_LINUX_DEFAULTДобавляем в конец
Код:
pti=off spectre_v2=offдолжно получится так:
Код:
GRUB_CMDLINE_LINUX_DEFAULT=".............. pti=off spectre_v2=off"Например так:
Код:
GRUB_CMDLINE_LINUX_DEFAULT="noquiet nosplash pti=off spectre_v2=off"Затем:
Код:
update-grubПроверяем утилитой spectre-meltdown-checker.sh, что сервер уязвим (VULNERABLE) по всем 3 вариантам, а значит патчи успешно отключены.
