Die aktuelle Sicherheitsanfälligkeit in Meltdown Intel-Prozessoren wird derzeit behoben, indem die Seitentabellenisolierung aktiviert wird. Es gibt eine Frage, wie Sie dies deaktivieren können : Wie Sie die Seitentabellenisolation deaktivieren, um die aufgrund des Sicherheitslücken-Patches für die Intel-CPU verlorene Leistung wiederherzustellen?
Meine Frage ist umgekehrt: Gibt es eine Möglichkeit, auf einem laufenden System zu überprüfen, ob der PTI-Mechanismus auf dem System wirksam ist und somit das System geschützt ist? Ich bin speziell auf der Suche nach cat /proc/something
oder cat /sys/something
nicht auf Kernel-Version oder Konfigurationsparameter oder dergleichen zu überprüfen.
Das Begrüßen von CONFIG_PAGE_TABLE_ISOLATION in der Kernel-Konfiguration, wie von Raniz vorgeschlagen, hilft nicht auf Ubuntu-Desktops, kann aber auf Cloud-Instanzen helfen:
Sie können mit überprüfen,
/proc/cpuinfo
wie JonasCz vorgeschlagen hat :Oder von
dmesg
(danke an Jason Creighton ):Sie können ein Testprogramm von Raphael Carvalho für die Meltdown-Erkennung kompilieren :
Auf gepatchten Systemen sollte es mit der Ausgabe enden
Überprüfen Sie mit dem Tool von https://github.com/speed47/spectre-meltdown-checker :
Auf gepatchten Systemen sollte Folgendes angezeigt werden:
Installieren Sie 4.4.0-108-generic nicht auf Xenial! Es bricht die Boot- / Neustart- / Shutdown- / Suspend-Funktionalität ab !
Installieren Sie 4.4.0-109-generic ( Details siehe USN-3522-3 )!
Wie Robie Basak bereits schrieb , gibt es in Ubuntu eine Seite über den Schwachstellenstatus von Spectre und Meltdown .
Es gibt auch:
quelle
dmesg | grep isolation && echo "patched :)" || echo "unpatched :("
Befehl ist unnötig gefährlich : Er zeigt nicht an, welche Zeile tatsächlich abgeglichen wurde, und würde auch gerne "gepatcht :)" ausgeben, wenn eine zufällige andere Instanz von "Isolation" abgeglichen wurde .../proc/cpuinfo
for cpu_insecure). Wenn Sie dies in ein Skript einfügen und in Zukunft eine CPU haben, bei der das Problem in der Mikroarchitektur behoben ist,/proc/cpuinfo
wird dies nicht mehr angezeigtcpu_insecure
und Ihr Skript glaubt, dass der Kernel ungepatcht ist , obwohl er gepatcht ist . Ich würde auch gegen den dritten Vorschlag raten, da es zu wahrscheinlich ist, dass irgendwann das Wortisolation
in derdmesg
Ausgabe vorkommt, ohne dass es sich auf die Kernel-Seitentabellen-Isolation bezieht.isolation
wird mitKernel/User page tables isolation: enabled
und übereinstimmenKernel/User page tables isolation: disabled on command line
.Führen Sie den folgenden Befehl aus:
Wenn aktiviert angezeigt wird, ist PTI aktiviert. Wenn im Terminal nichts angezeigt wird oder Sie "disabled" sehen, ist PTI deaktiviert. Ubuntu hat den Patch noch nicht veröffentlicht, daher wird keine Meldung angezeigt.
quelle
dmesg
Ausgabe sind. Prüfen Sie,/var/log/kern.log*
ob es weit genug zurückreicht, um die Startmeldungen zu erhalten. Ubuntu zeichnete diedmesg
Ausgabe/var/log/dmesg
während des Startvorgangs auf , scheint dies aber nicht mehr zu tun.dmesg: invalid option -- 'w'
.-H
ist auch ungültig. Das Entfernen der Flags hat für mich gut funktioniert, wie in dieser AntwortSie können mit überprüfen
cat /proc/cpuinfo
, ob escpu_insecure
unter "Bugs" meldet , dann ist PTI aktiviert.Wenn es leer ist (oder einfach nicht aufgelistet wird
cpu_insecure
), führen Sie höchstwahrscheinlich einen Kernel aus, der noch nicht gepatcht wurde (Ubuntu hat es nicht), oder Sie haben einen AMD-Prozessor (für den dies absehbar nicht aktiviert ist, da sie sind nicht verwundbar).Gegenwärtig werden alle CPUs im neuesten 4.15-Kernel als anfällig behandelt .
quelle
cpu_insecure
für jede x86-CPU eingestellt. 4.14.12 und neuer setzt sie nur für Intel - CPUs (darunter auch solche , zu alt oder zu primitiv , verletzlich sein Sowohl es auch wenn KPTI deaktiviert eingestellt wird..Ich habe dieses großartige sh-Skript gefunden, um Meltdown / Spectre-Schwachstellen auf Ihrem System zu testen:
https://github.com/speed47/spectre-meltdown-checker
Das Skript überprüft Ihr System auf bekannte Meltdown- und Spectre-Patches auf Ihrem System, um Ihnen mitzuteilen, ob diese Sicherheitsanfälligkeiten jetzt von Ihrem Betriebssystem behoben werden
quelle
Sie können prüfen , /proc/config.gz für
CONFIG_PAGE_TABLE_ISOLATION=y
was bedeutet , dass der Kernel mit KPTI kompiliert wurde.Dies ist auf meinem gepatchten Arch Linux-System unter 4.14.11-1:
quelle
/proc/
in Ubuntu-Kerneln nicht standardmäßig aktiviert. Die (viel weniger elegante) Problemumgehung greift/boot/config-$( uname -r )
stattdessen.Auf meiner AWS Ubuntu 14.04.5 LTS EC2-Instanz wurde ich ausgeführt
Es sollte heißen:
Für das Update habe ich:
Ich denke auch das ist OK:
So überprüfen Sie die Kernelversion:
Muss sein 3.13.0-139-generic oder neuer.
quelle