Preveri, če sta prizadeta zaradi Meltdown in Spectre in se brani !!!

Meltdown in Spectre So trendi zadnjih dni, o čemer se skoraj nič drugega ne govori in ni čudno, saj so verjetno najpomembnejše ranljivosti v zgodovini. Resno vplivajo na varnost naših sistemov in če sistem pripada podjetju ali imate ustrezne podatke, je problem veliko resnejši. Vendar se vedno misli, da so prizadeti le namizni računalniki, prenosniki, strežniki in superračunalniki, vendar gre škoda še dlje in vpliva na veliko več naprav, kot so tiste, ki temeljijo na jedrih ARM, in vključuje tablice, pametne telefone in nekatere naprave. , avtomatizacija doma, celo povezani avtomobili.

Kot dobro veste, to nikakor ni nekaj edinstvenega za Linux, temveč bolj vpliva na različne operacijske sisteme, vpliva tudi na Microsoft Windows in macOS, ne da bi pozabili iOS in Android. Zato se le malokdo izogne ​​tem grožnjam, čeprav je res, da so nekatere arhitekture procesorjev prihranjene in da imamo, če imamo čip AMD, možnosti za izkoriščanje teh ranljivosti verjetno manj, vendar to ne pomeni, da ni tveganja.

Kakšno je trenutno stanje v Linuxu?

Linux v bistvu premika svetČeprav mnogi verjamejo, da gre za sistem, ki se redko uporablja, je ravno obratno. Mogoče je spodletelo v vidiku, da je bilo ustvarjeno za namizje in je ravno to edini sektor, kjer je manjšina v primerjavi z vsemogočnim sistemom Windows in v primerjavi z dobrim delom, ki ga ima Mac. Če gremo na vdelane ali vdelane naprave, strežnikov, superračunalnikov itd., Linux prevladuje in ravno internetni strežniki postanejo vitalni in brez njega lahko praktično rečemo, da bi internet padel

Zato v Linuxu reagirali prej kot v katerem koli drugem sistemu za reševanje težav, ki bi jih Meltdown in Spectre lahko pustila za seboj. Že Linus Torvalds O tej zadevi je z nekaj ostrih besed spregovoril z Intelom, in če si pogledate LKML, boste videli, da je to zaskrbljujoče in je redno. Greg Kroah-Hartman je to storil tudi njegova desna roka in številka dve v razvoju jedra Linux. Za več informacij se lahko obrnete njegov osebni blog kjer boste našli dovolj informacij.

• Meltdown: Greg je v bistvu komentiral, da ga je mogoče v primeru taljenja končati na x86 z vključitvijo CONFIG_PAGE_TABLE_ISOLATION, izolacija tabele strani (PTI) da se morajo računalniki s procesorji AMD, na katere ta ne vpliva, izogibati težavam z delovanjem. Morda ste celo vedeli, da se nekateri računalniki s čipom AMD niso več zagnali, ker je popravek sistema Windows povzročil resne težave. PTI bo privzeto vključen v Linux 4.15, vendar bo zaradi svoje pomembnosti v smislu varnosti vključen v prejšnje različice, kot so LTS 4.14, 4.9 in 4.4 ... in verjetno bo sčasoma popravek vključen v številne druge različice , vendar potrpljenje, ker za razvijalce pomeni preobremenjenost dela. V nekaterih nastavitvah navideznih strojev se srečujejo tudi s težavami, povezanimi s popravki, kot je vDSO. Glede ARM64, ki ga Meltdown rahlo prizadene, kar je za Intel veliko težavo, potrebujejo popravke tudi čipi številnih mobilnih naprav in drugih naprav, čeprav se zdi, da se kratkoročno ne bo združil z glavnim drevesnim jedrom (morda v Linuxu 4.16, čeprav je Greg komentiral, da morda ne bodo nikoli prispeli zaradi količine predpogojev, ki jih je treba odobriti), zato je priporočljivo, da v svojih vejah 3.18, 4.4 in 4.9 uporabite posebna jedra, tj. .
• spekter: druga težava prizadene več arhitektur in je bolj zapletena pri reševanju. Zdi se, da kratkoročno ne bomo imeli dobre rešitve in bomo morali nekaj časa sobivati ​​s to težavo. V dveh različicah sistem potrebuje za popravek in nekatere razvojne skupnosti nekaterih distrostov so že začele izdajati popravke za njegovo ublažitev, vendar so ponujene rešitve raznolike in zaenkrat ne bodo vključene kot del glavne veje. jedra, dokler Najboljša rešitev ni vidna, preden oblikovalci procesorjev pripravijo najboljšo rešitev (preoblikujejo svoje čipe). Rešitve so bile preučene in na tej poti najdejo nekatere težave, na primer večje nevednost o Spectru. Razvijalci potrebujejo nekaj časa, da ugotovijo, kako se spoprijeti s težavo, sam Greg pa je komentiral, da "To bo v prihodnjih letih področje raziskav, da bi našli načine za ublažitev morebitnih težav s strojno opremo, ki jih bodo v prihodnosti tudi poskušale napovedati, preden se bodo zgodile.".
• Chromebooki- Če imate prenosni računalnik Google, boste veseli, da lahko vidite status dela, ki ga opravljajo za reševanje Meltdowna. na tem seznamu.

Kako enostavno preveriti, ali sem prizadet?

Da ne bi šli po posvetovalnih mizah ali seznamih mikroprocesorjev, tukaj predlagamo scenarij ki so jih ustvarili, da bi lahko zlahka preverili, ali smo prizadeti ali ne, ga preprosto moramo prenesti in zagnati in nam bo povedal, ali smo zaradi Spectra in Meltdowa v nevarnosti ali ne. Navodila ali koraki so preprosti:

git clone https://github.com/speed47/spectre-meltdown-checker.git

cd spectre-meltdown-checker/

sudo sh spectre-meltdown-checker.sh

Po izvedbi tega se bo pojavilo rdeče polje, ki označuje, ali smo ranljivi za taljenje ali Spectre ali zeleni indikator, če smo varni pred različice teh ranljivosti. V mojem primeru, na primer z AMD APU (ne da bi celo posodobili sistem), je bil rezultat:

Če je bil rezultat v rdeči barvi PREPROSTLJIV, preberite naslednji razdelek ...

Kaj storiti, če sem prizadet?

Kot nekateri pravijo, je najboljša rešitev preklop na CPE ali mikroprocesor, na katerega težava ne vpliva. Toda to za mnoge uporabnike zaradi pomanjkanja proračuna ali drugih razlogov ni izvedljivo. Tudi proizvajalci, kot je Intel še naprej prodajajo prizadete mikroprocesorje in so bili uvedeni pred kratkim, na primer Coffee Lake, saj imajo mikroarhitekture običajno dolge razvojne čase in zdaj delajo na oblikovanju prihodnjih mikroarhitektur, ki se bodo pojavile na trgu v prihodnjih letih, toda vsi čipi, ki se zdaj tržijo ki bo verjetno komercializiran v prihodnjih mesecih, bo še naprej vplival na strojni ravni.

Zato v primeru, da trpimo za to boleznijo in jo moramo "popraviti", nam ne preostane drugega, kot da popravimo svoj operacijski sistem (ne pozabite na brskalnike itd.), Kakršen koli že je, in posodobimo tudi vse programsko opremo, ki jo imamo. Če so dobro konfigurirani posodobitveni sistem To je bilo že zelo pomembno, zdaj morate biti bolj kot kdajkoli na tekočem s posodobitvami, saj bodo z njimi prišli popravki, ki rešujejo problem Meltdown in Spectre s programske strani, ne da bi pri tem izgubili zmogljivost, kot smo že rekli. ..

Rešitev za uporabnika ni zapletena, ni nam treba narediti ničesar "posebnega", samo poskrbite, da bo razvijalec našega distribucijskega sistema izdal posodobitev za Meltdown in Spectre in ali smo jo namestili. Več informacij o tem.

Če želite, lahko s tem ukazom preverite, ali je bil potop nameščen (če je potrebno) za Meltdown na vašem distribucijskem sistemu:

 dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :(" 

*Pazite se jedra Ubuntu 4.4.0-108-genericNekateri uporabniki so poročali o težavah v svojih računalnikih med zagonom po posodobitvi in ​​so se morali vrniti na prejšnjo različico. Zdi se, da ga je Canonical rešil v različici 4.4.0-109-generic ...

Izguba učinkovitosti: v nekaterih primerih je bilo govora o 30%, vendar bo to odvisno od mikroarhitekture. V starejših arhitekturah je lahko izguba zmogljivosti zelo velika, ker dobički, ki jih imajo te arhitekture, temeljijo predvsem na izboljšavah, ki jih zagotavlja izvedba OoOE in TLB ... V sodobnejših arhitekturah se govori med 2% in 6% odvisno od vrste programske opreme, ki se izvaja za domače uporabnike, so izgube morda v podatkovnih centrih veliko večje (več kot 20%). Kot je priznal sam Intel, bo po zmanjšanju pomembnosti tega, kar jim prihaja, zmogljivosti procesorjev pred Haswellom (2015) padec zmogljivosti precej slabši od teh 6%, tudi za običajne uporabnike ...

Ne pozabite pustiti svojih komentarjev s svojimi dvomi ali predlogi ...