Ellenőrizze, hogy érinti-e a Meltdown és a Spectre, és védekezzen !!!

Meltdown és Spectre Ezek az elmúlt napok trendjei, másról gyakorlatilag nem esik szó, és nem is csoda, hiszen a történelem talán legfontosabb sebezhetőségei. Komolyan befolyásolják rendszereink biztonságát, és ha a rendszer egy céghez tartozik, vagy releváns adatokkal rendelkezik, akkor a probléma sokkal súlyosabb. Mindig azt gondolják azonban, hogy csak az asztali számítógépeket, laptopokat, szervereket és szuperszámítógépeket érinti, de a kár még ennél is tovább megy, és sokkal több eszközt érint, például az ARM magokon alapulókat, beleértve a táblagépeket, okostelefonokat és néhány eszközt is. IoT, ipari , otthoni automatizálás, akár csatlakoztatott autók is.

Mint jól tudod, ez semmiképpen sem egyedülálló a Linux számára, inkább befolyásolja a különféle operációs rendszereket, a Microsoft Windows és a macOS is érintett ez, az iOS és az Android feledése nélkül. Ezért kevesen kerülik el ezeket a fenyegetéseket, bár igaz, hogy bizonyos CPU-architektúrákat megkímélnek, és ha van egy AMD-chipünk, akkor valószínűleg kisebb az esélye ezeknek a sérülékenységeknek a kihasználására, de ez nem jelenti azt, hogy nincs kockázat.

Mi a jelenlegi helyzet a Linux esetében?

A Linux alapvetően mozgatja a világotBár sokan úgy gondolják, hogy ez egy olyan rendszer, amelyet ritkán alkalmaznak, ellenkezőleg. Valószínűleg kudarcot vallott abban a tekintetben, hogy az asztali számítógép számára hozták létre, és pontosan ez az egyetlen szektor, ahol kisebbség a mindenható Windows-hoz képest, és összehasonlítva a Mac jó részével. Ha beágyazott vagy beágyazott eszközökre megyünk, szerverek, szuperszámítógépek, stb., a Linux domináns, és éppen az internetes szerverek váltak létfontosságúvá, és nélküle gyakorlatilag elmondható, hogy az internet esni fog ...

Ezért Linuxban korábban reagált mint bármely más rendszerben, hogy megoldja azokat a problémákat, amelyeket a Meltdown és a Spectre magára hagyhat. Már Linus Torvalds Néhány kemény szóval beszélt az Intelről, és ha megnézi az LKML-t, látni fogja, hogy ez aggodalomra ad okot, és ez a nap rendje. Jobbkeze és a Linux kernel második helyezettje, Greg Kroah-Hartman is megtette. További információért forduljon személyes blogja ahol elegendő információt talál.

• Meltdown: Alapvetően Greg megjegyezte, hogy a Meltdown kapcsán az x86-ra fejezhet be, ha úgy dönt, hogy felveszi a CONFIG_PAGE_TABLE_ISOLATION, egy oldaltáblák elkülönítése (PTI) hogy az AMD processzorral rendelkező számítógépeknek, amelyeket ez nem érint, kerülniük kell a teljesítményproblémák elkerülését. Még azt is tudhatta, hogy néhány AMD chipet tartalmazó számítógép leállt, mert a Windows javítás komoly problémákat okozott. A PTI alapértelmezés szerint bekerül a Linux 4.15-be, de a biztonság szempontjából fontos fontossága miatt beépül a korábbi verziókba, mint például az LTS 4.14, 4.9 és 4.4 ... és valószínűleg az idő múlásával a javítást sok más verzióba beépítik , de türelem, mert túl sok munkát jelent a fejlesztők számára. Emellett olyan javításokkal kapcsolatos problémákba ütköznek, mint például a vDSO egyes virtuális gépek beállításainál. Ami az Intel számára komoly problémát jelentő Meltdown által kissé érintett ARM64-et illeti, sok mobil eszköz és más eszköz chipjeihez is javításra van szükség, bár úgy tűnik, hogy rövid távon nem fog összeolvadni a fő kernefával (talán Linux alatt) 4.16, bár Greg megjegyezte, hogy soha nem érkezhetnek meg a javítások jóváhagyásához szükséges előfeltételek mennyisége miatt), ezért javasoljuk, hogy a 3.18, 4.4 és 4.9 ágakban használjon speciális kerneleket, vagyis az Android Common Kernelt. .
• Kísértet: a másik probléma több architektúrát érint, és bonyolultabb kezelni. Úgy tűnik, hogy rövid távon nem lesz jó megoldásunk, és egy ideig együtt kell élnünk ezzel a problémával. Két változatában javítani kell a rendszert, és egyes disztribúciók egyes fejlesztői közösségei már elkezdték kiadni a javításokat annak enyhítésére, de a nyújtott megoldások sokfélék, és egyelőre nem lesznek integrálva a fő ág részeként A kernelt a legjobb megoldás látja, mire a CPU-tervezők előállnak a legjobb megoldással (újratervezik a chipjeiket). A megoldásokat tanulmányozták, és útközben találnak néhány problémát, például a nagyobb tudatlanságot a Spectre iránt. A fejlesztőknek időre van szükségük, hogy kitalálják, hogyan kezeljék a problémát, és maga Greg is megjegyezte, hogyEz a következő évek kutatási területe lesz, hogy megtalálják a hardverrel kapcsolatos esetleges problémák enyhítésének módjait, amelyek a jövőben is megpróbálják őket megjósolni, még mielőtt azok megtörténnének.”.
• A Chromebook- Ha van Google laptopja, örömmel fogja tudni, hogy láthatja a Meltdown megoldása érdekében végzett munka állapotát ezen a listán.

Hogyan lehet könnyen ellenőrizni, hogy érintett-e?

Annak érdekében, hogy ne keresse meg a táblázatokat vagy a mikroprocesszorok listáját, itt javaslunk egy forgatókönyvet amelyet azért hoztak létre, hogy könnyedén ellenőrizhessék, hogy minket érint-e vagy sem, egyszerűen le kell töltenünk és futtatnunk, és ez megmondja nekünk, hogy veszélyben vagyunk-e a Spectre és az Meltdown miatt. A követendő utasítások vagy lépések egyszerűek:

git clone https://github.com/speed47/spectre-meltdown-checker.git

cd spectre-meltdown-checker/

sudo sh spectre-meltdown-checker.sh

Ennek végrehajtása után megjelenik egy piros négyzet, amely jelzi, ha kiszolgáltatottak vagyunk a Meltdown vagy a Spectre ellen, vagy egy zöld jelző arra az esetre, ha biztonságban vagyunk e sérülékenységek változatai. Például az AMD APU-val (anélkül, hogy frissítettem volna a rendszert) az eredmény:

Abban az esetben, ha az eredmény piros VULNERABLE volt, olvassa el a következő szakaszt ...

Mi a teendő, ha érintett vagyok?

A legjobb megoldás, amint egyesek szerint CPU-ra vagy mikroprocesszorra vált, amelyet a probléma nem érint. De ez a felhasználók számára nem megvalósítható költségvetés hiánya vagy más okok miatt. Továbbá a gyártók, mint az Intel továbbra is értékesítik az érintett mikroprocesszorokat és amelyeket a közelmúltban indítottak el, például a Coffee Lake-t, mivel a mikroarchitektúrák általában hosszú fejlesztési időkkel rendelkeznek, és most a jövőben a piacon megjelenő jövőbeli mikroarchitektúrák tervezésén dolgoznak, de az összes chip, amelyet most forgalmaznak és amelyek valószínűleg a következő hónapokban kerülnek kereskedelmi forgalomba, hardver szinten továbbra is érintettek lesznek.

Ezért abban az esetben, ha ebben a betegségben szenvedünk és "javítani" kell, nincs más választásunk, mint javítani az operációs rendszerünket (ne felejtsük el a böngészőket stb.), Bármi legyen is az, és frissítsük az összes szoftverünk van. Ha jól konfigurálták a frissítési rendszer Ez már nagyon fontos volt, most minden eddiginél jobban naprakésznek kell lennie a frissítésekkel, hiszen velük együtt jönnek azok a javítások is, amelyek a szoftver oldaláról oldják meg a Meltdown és a Spectre problémát, nem a teljesítmény elvesztése nélkül, ahogy már említettük. ..

A megoldás nem bonyolult a felhasználó számára, nem kell semmi "különlegeset" tennünk, csak győződjön meg róla, hogy disztribútorunk fejlesztője kiadta-e a Meltdown és a Spectre frissítését, és hogy telepítve van-e. További információ róla.

Ha akarja, ezzel a paranccsal ellenőrizheti, hogy a javítás telepítve van-e (ha szükséges) a Meltdown számára a disztribúción:

 dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :(" 

*Vigyázzon az 4.4.0-108-generikus Ubuntu kernellelNéhány felhasználó a frissítés után indításkor problémákat jelentett számítógépén, és vissza kellett térnie egy korábbi verzióra. Úgy tűnik, hogy a Canonical megoldotta a 4.4.0-109-generic ...

Teljesítményvesztés: egyes esetekben 30% -ról volt szó, de ez a mikroarchitektúrától függ. Régebbi architektúrákban a teljesítményveszteség nagyon súlyos lehet, mert ezeknek az architektúráknak a teljesítménynövekedése elsősorban az OoOE végrehajtása és a TLB által nyújtott fejlesztéseken alapul ... A modernebb architektúrákban 2% és 6 között beszélnek róla % az otthoni felhasználók számára futó szoftver típusától függően, esetleg az adatközpontokban a veszteségek sokkal nagyobbak (20% felett). Amint azt maga az Intel is felismerte, miután kicsinyítették a számukra érkezőket, a Haswell (2015) előtti processzorokban a teljesítménycsökkenés még a normál felhasználók számára is sokkal rosszabb lesz, mint ez a 6%.

Ne felejtsük el, hogy megjegyzéseket kétségeivel vagy javaslataival ...