弹性云服务器 ECS-针对Intel处理器芯片存在的Meltdown和Spectre安全漏洞,应该如何规避?:打开或关闭Linux操作系统的安全漏洞补丁开关
打开或关闭Linux操作系统的安全漏洞补丁开关
CPU的预测执行是一种性能优化技术,因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。
如果您认为漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制,希望可以禁用部分或全部漏洞安全保护策略,那么可以参考以下操作启用或者禁用安全保护策略。
您可以根据如下具体情况配置系统来达到理想的安全策略:
- Meltdown漏洞
采取页表隔离pti(Page Table Isolation)来控制内核页表隔离功能,此功能适用于CVE-2017-5754。
- Spectre漏洞
采取间接分支限制预测ibrs(Indirect Branch Restricted Speculation)控制SPEC_CTRL模型特定寄存器(MSR)中的IBRS功能,结合retpoline,及间接分支预测障碍ibpb(Indirect Branch Prediction Barriers)控制PRED_CMD模型特定寄存器(MSR)中的IBPB功能,此功能适用于CVE-2017-5715。
CVE-2017-5753漏洞是通过内核补丁修复的,它无法禁用,并且它在Red Hat的性能测试中没有显示出任何可见的影响。
- 关闭Meltdown安全漏洞补丁
如果您想降低开启pti对系统的性能影响或者系统有更好的保护机制,您可以根据以下步骤操作:
- 根据不同的操作系统修改内核参数:
- CentOS、EulerOS、Ubuntu、Fedora、Red Hat:添加内核参数nopti
- Debian、OpenSUSE:添加内核参数pti=off
- 重启云服务器。
- 根据不同的操作系统修改内核参数:
- 关闭Spectre安全漏洞补丁
如果您认为Spectre漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制,您可以根据以下步骤操作:
- 根据不同的操作系统修改内核参数:
- CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE:添加内核参数spectre_v2=off
- Ubuntu:添加内核参数nospectre_v2=off
- 重启云服务器。
- 根据不同的操作系统修改内核参数:
如果您使用的是以下操作系统,可以前往官网查询更多信息。
RedHat:https://access.redhat.com/articles/3311301?spm=a2c4g.11186623.2.20.42b49d4aJuKYx2
SUSE:https://www.suse.com/support/kb/doc/?spm=a2c4g.11186623.2.21.42b49d4avOXw7d&id=7022512
Ubuntu:https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown