Защита от Meltdown|Spectre в Unix/Linux
Meltdown нарушает самую фундаментальную изоляцию между пользовательскими приложениями и операционной системой. Эта атака позволяет программе получать доступ к памяти, а также к скрытым возможностям других программ и операционной системы. Если ваш компьютер имеет уязвимый процессор и запускает незагруженную операционную систему, небезопасно работать с конфиденциальной информацией без утечки информации. Это относится как к персональным компьютерам (ПК), так и к облачной инфраструктуре.
Spectre нарушает изоляцию между различными приложениями. Это позволяет злоумышленнику обманывать программы и выполнять утечку данных.
Защита от Meltdown|Spectre в Unix/Linux
Микрокод — это код для процессора (его прошивка), поставляемая Intel или AMD. Ядро Linux может обновлять прошивку процессора без обновления BIOS во время загрузки. Микрокод процессора хранится в ОЗУ, а ядро обновляет микрокод во время каждой загрузки.
И так, проверим статус микрокода:
$ dmesg | grep microcode
Обратите внимание, что вполне возможно, что для вашего процессора нет обновления микрокода. В этом случае он будет выглядеть следующим образом:
[ 0.952699] microcode: sig=0x306a9, pf=0x10, revision=0x1c [ 0.952773] microcode: Microcode Update Driver: v2.2.
Исправление для CentOS/RedHat/Fedora:
# yum install kernel microcode_ctl linux-firmware -y
Исправление для Debian/Ubuntu:
# apt install kernel intel-microcode -y
Исправление для Mac OS X:
Пока Apple не выпустила обновление (10.01.2018).
После обновления, выполняем ребут ОС:
$ sudo reboot
Потом,смотрим что получилось:
# dmesg | grep 'microcode'
Получаем что-то типа:
[ 0.000000] microcode: microcode updated early to revision 0x1c, date = 2015-02-26 [ 1.604672] microcode: sig=0x306a9, pf=0x10, revision=0x1c [ 1.604976] microcode: Microcode Update Driver: v2.01 <tigran@aivazian.fsnet.co.uk>, Peter Oruba
Вот и все, статья «Защита от Meltdown|Spectre в Unix/Linux» завершена.