Патчи устранения уязвимостей Spectre и Meltdown (Linux)

Основано на информации от товарища n3k0nation (ZG) и дополнено мной

По факту это три уязвимости. Их нужно боятся, если у вас виртуальный сервер или же вы хостер, который предоставляет виртуальные сервера в аренду. Для тех, у кого выделенный сервер боятся нечего, а подобные патчи лишь уменьшают производительность…

Список уязвимых процессоров:



Версии ядра популярных дистрибутивов, начиная с которых присутствуют патчи для устранения уязвимостей:
Код:
RHEL 6/ CentOS 6 - 2.6.32-696.18.7
RHEL 7/ CentOS 7 - 3.10.0-693.11.6
Debian 7 - 3.2.0-5-amd64
Debian 8 - 3.16.0-5-amd6
Debian 9 - 4.9.0-5-amd64
Ubuntu 14.04 - 3.13.0-139-generic
Ubuntu 16.04 - 4.4.0-109-generic/ 4.13.0-26-generic
Ubuntu 17.10 - 4.13.0-25-generic

Также ряд хостеров поставляет в своих образах ядра, которые им же и модифицированы, например OVH. В таком случае версия ядра может отличатся о тех, которые описаны выше и там уже могут быть вшиты эти патчи.

Для того чтобы проверить вашу систему берём специальный bash скрипт:


Сохраняем к себе на сервер и выполняем (от root):
Код:
sh spectre-meltdown-checker.sh

Если ваш сервер уязвим, то будет написано VULNERABLE, если нет, то NOT VULNERABLE соответственно.
68747470733a2f2f6672616d617069632e6f72672f316b576d4e7745366c6c30702f6179545258394a526c484a372e706e67

ВНИМАНИЕ! Дальнейшие действия только для владельцев выделенных серверов, т.к эти уязвимости не несут никакой опасности для них (как и написано выше) и патчи, которые их закрывают можно смело отключить.

ВНИМАНИЕ! Если вы не понимаете, что делаете, то действовать самостоятельно не рекомендуется! Прежде чем редактировать загрузчик рекомендую проверить наличие VNC/KVM консоли, дабы в случае проблем с загрузкой сервера вы смогли зайти и вернуть всё обратно. Никто кроме вас не несёт ответственности за последствия. Все действия вы совершаете на свой страх и риск.

Итак, для того, чтобы отключить патчи необходимо добавить два аргумента в загрузчик ядра

Редактируем файл: /etc/default/grub

Нужный нам параметр:
Код:
GRUB_CMDLINE_LINUX_DEFAULT

Добавляем в конец
Код:
pti=off spectre_v2=off

должно получится так:
Код:
GRUB_CMDLINE_LINUX_DEFAULT=".............. pti=off spectre_v2=off"
(где .............. аргументы, которые там были изначально)

Например так:
Код:
GRUB_CMDLINE_LINUX_DEFAULT="noquiet nosplash pti=off spectre_v2=off"


Затем:
Код:
update-grub
перегружаем сервер.

Проверяем утилитой spectre-meltdown-checker.sh, что сервер уязвим (VULNERABLE) по всем 3 вариантам, а значит патчи успешно отключены.
 
Ещё более интересные новости:

Разработчики СУБД MariaDB предупредили о существенном снижении производительности хранилища MyISAM при использовании ядра Linux с патчами KPTI, блокирующими уязвимость Meltdown. Замедление операций сканирования строк в MyISAM после применения патчей KPTI составляет около 40%, а при отсутствии поддержки PCID может достигать 90%. Для избавления от подобного эффекта требуется полный редизайн MyISAM. Судя по всему это касается всех версий mysql и не только форков...

 
как на CentoS 6-7 отключить? там вроде нет update-grub
 
@GoGLiKKGoGLiKK верифицированный пользователь., всё правильно написал. @valsha, почему вы не воспользовались поиском и не нашли ответ самостоятельно?
Почему вы ждёте, чтобы другие всё сделали за вас? А даже когда сделали, вы реагируете очень и очень странно...
 
@EvasEvas верифицированный пользователь. я смотрю вы много сами сделали, что аж перепостили сообщение n3k0nation
с форума
Основано на информации от товарища n3k0nation (ZG) и дополнено мной

Н-еадекват

p.s -
Жаль только -5 дал :/
 
Последнее редактирование:
@EvasEvas верифицированный пользователь. я смотрю вы много сами сделали, что аж перепостили сообщение n3k0nation
с форума

Мои поздравления!
Вы делаете успехи, раз наконец смогли воспользоваться поиском. Но, к сожалению, вы плохо им воспользовались.
Внимательнее надо быть, внимательнее. Если полистать тему на ZG, которую вы нашли, можно увидеть, что первое сообщение было дополнено моей информацией.

P.S. - Конкретно в данном случае речь шла о вас. Вам всё разжевали, даже нашли решение конкретно вашего вопроса, а вместо благодарности вы ведёте себя как даже не знаю кто ....
 
Мои поздравления!
Вы делаете успехи, раз наконец смогли воспользоваться поиском. Но, к сожалению, вы плохо им воспользовались.
Внимательнее надо быть, внимательнее. Если полистать тему на ZG, которую вы нашли, можно увидеть, что первое сообщение было дополнено моей информацией.

P.S. - Конкретно в данном случае речь шла о вас. Вам всё разжевали, даже нашли решение конкретно вашего вопроса, а вместо благодарности вы ведёте себя как даже не знаю кто ....
Я знаю :D

 
Кстати, работает не только с GRUB. Достаточно к параметрам загрузки ядра указать pti=off spectre_v2=off.
К примеру, в systemd-boot я эти опции добавил к options в /boot/loader/entries/имя_пресета.conf.
 
Назад
Сверху Снизу