Linux笔记--关闭系统漏洞补丁(Spectre & Meltdown补丁)

已于 2022-12-08 01:44:57 修改
阅读量2k 收藏 3
点赞数
分类专栏: # 【Ubuntu】 文章标签: linux 系统安全 安全
于 2022-10-25 21:55:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43727392/article/details/127522481
版权
  • Meltdown是利用无序执行(Out of Order Execution)完成机密信息泄露的攻击
  • Spectre是利用预测执行(Predict Execution)完成机密信息泄露的攻击

上述两个攻击论文在2018年发表,关于这两种攻击的缓解措施(Mitigation)已有很多,而且微软也给了补丁。但是在系统安全研究中有时我们需要关闭系统已经打好的安全补丁做一些POC,这里以ubuntu22为例子关闭补丁。

我使用的OS:Ubuntu22

在 5月14日 更新的新版 Ubuntu 内核中,均增加了一个统一的关闭指令,你只需要在GRUB启动参数上增加一个参数即可。

修改 /etc/default/grub (部分版本可能需要修改 /etc/default/grub.d/50-curtin-settings.cfg
使用Vim修改:vim /etc/default/grub

找到 GRUB_CMDLINE_LINUX_DEFAULT,在后面引号内,追加参数

mitigations = off

然后执行

sudo update-grub

等待完成,重启后,即完成禁用补丁
重启命令:reboot

我使用的是spectre-meltdown-checker查看是否生效,点我到spectre-meltdown-checker GitHub地址
直接复制↓

https://github.com/speed47/spectre-meltdown-checker

使用命令git Clone 下载
然后运行spectre-meltdown-checker.sh即可查看

在这里插入图片描述
可以看到相关的漏洞代码已经标红,表示这些漏洞的mitigation已经被解除。

研究僧12138
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux操作系统加固
悦分享
07-23 1446
如何尽可能地加强Linux安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
在Intel处理器上,修改mitigations参数使Linux系统运行得更快
rayylee
04-08 4900
您可能听说过影响了许多现代处理器,包括英特尔,AMD,System Z,Power和ARM的某些处理器。幸运的是,内核开发人员已经发布了安全补丁来解决Meltdown/Spectre问题,在最新的内核版本中,默认情况下应用补丁。尽管安全补丁有助于缓解漏洞,但是它们也会影响系统的性能,如果您的系统受到了很好的保护,并且希望获得所有的性能,那么本指南非常适合您。本简要指南介绍了如何通过关闭Spectre和Meltdown缓解措施使Linux系统在Intel CPU上更快地运行。 警告 : 在实施以下解决方案之前
Spectre-v2 以及 Linux Retpoline技术简介_spectre v2 mitigation
2401_84968582的博客
05-13 581
Spectre-v2 第二种变体:利用间接分支。借鉴了返回导向编程(ROP)的思想,在这种变体中,攻击者从受害者的地址空间中选择一个指令片段(gadget),并影响受害者通过推测执行(speculative execution)来执行该指令片段。与ROP不同,攻击者不依赖于受害者代码中的漏洞。相反,攻击者通过训练分支目标缓冲器(Branch Target Buffer,BTB)来误导间接分支指令到指向该指令片段的地址,从而导致该指令片段的推测执行。
硬件安全漏洞 -- Meltdown复现及原理分析
chi's blog
01-21 1055
操作系统最核心的一个特性是内存隔离,即操作系统要确保用户程序不能访问彼此的内存。而CPU熔断漏洞巧妙地利用了现代处理器中乱序执行的副作用进行侧信道攻击,破坏了机遇地址空间隔离的安全机制,使得用户态程序可以读出内核空间的数据,包括个人私有数据和密码等。
Meltdown & Spectre 攻击及缓解措施(一)
Baidu_Secrity的博客
01-09 1157
Yueqiang Cheng, Yulong Zhang, Yu Ding, Tao WeiBaidu X-Lab, Jan 8, 20181. 引言最近Google Project ...
Linux系统安全加固指南(万字长文)
Docker的专栏
03-13 813
▲点击上方“分布式实验室”关注公众号回复“1”抽取纸质技术书本指南旨在说明如何尽可能地加强Linux安全性和隐私性,并且不限于任何特定的指南。免责声明:如果您不确定自己在做什么,请不要...
Linux系统安全强化指南
程序员小乐
06-07 598
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文When faced with two choices, simply toss a...
centos是arm还是amd_amd系列cpu安装linux
weixin_42116650的博客
01-15 5439
如何在 Linux 上安装 Intel 微代码固件linux 的内核可以在引导时更新 cpu 固件,而无需 bios 更新。 处理器的微码保存在内存中,在每次启动系统时,内核可以更新这个微码。 这些来自 intelamd 的微码的更新可以去修复 bug 或者使用补丁来防范 bug。 如果你是一个 linux 系统管理方面的新手,如何在 linux 上使用命令行方式去安装或者更新 intelamd ...
NetSpectre:通过网络读取任意内存
分享观点和经验,欢迎交流。
09-29 793
摘要 推测执行是现代处理器能够实现高性能的一个关键因素。在推测执行过程中,处理器可能会执行程序一般不会执行到的操作。如果推测执行被中止,这些操作对体系结构的影响和结果会被丢弃,但对微架构的影响可能会保留下来。最近公布的Spectre攻击就是利用这些保留下来的微架构状态来读取其他程序的内存内容。然而,Spectre攻击需要在目标系统上进行某种形式的本地代码执行。因此,只要攻击者无法在目标机器运行任何代码,该系统就被认为是安全的。 在本文中,我们介绍了NetSpectre,一种通用的远程Spectre变种1攻击
spectre-meltdown-checker:针对Linux和BSD的Spectre,Meltdown,Foreshadow,Fallout,RIDL,ZombieLoad漏洞缓解检查器
02-03
spectre-meltdown-checker”是一款针对Linux和BSD系统的安全检测工具,用于检测和缓解Spectre、Meltdown、Foreshadow、Fallout、RIDL和ZombieLoad等严重处理器漏洞。通过使用该工具,用户可以确保自己的系统得到...
微软win7补丁合集2019-2021年8月.rar
08-14
/FixOn(禁用Spectre and Meltdown安全漏洞。Windows 7默认禁用,Server 2008则启用)如果要将累积更新补丁包集成到系统映像内 ,可以使用以下参数: 提取Win7原版映像内的install.wim,然后加上相应的参数即可; /...
Spectre幽灵、Meltdown熔断漏洞检测工具InSpectre Release 8
07-07
如果发现系统存在Spectre或Meltdown漏洞,InSpectre会提示用户当前的缓解状态,并提供开启或关闭相关防御机制的选项。值得注意的是,虽然开启这些防御机制可以提高系统的安全性,但可能会对性能造成一定影响。 为了...
屏蔽CPU熔断补丁InSpectre.rar
03-06
InSpectre是由著名安全研究团队Grisoft开发的一款工具,它的主要功能是对系统进行检测,判断CPU是否受到“熔断”和“幽灵”漏洞的影响,并且提供了屏蔽补丁的选项。用户可以通过运行压缩包内的"屏蔽CPU熔断补丁In...
集成电路设计CAD-EDA工具实用教程1-Spectre-Verilog数模混合仿真.ppt
07-12
本文详细讲解了Cadence的Spectre–Verilog混合信号仿真步骤,可作为新人教案,也可作为工程技术人员的参考。目前市面上相关资料特别少,值得推荐。
Linux】通过分配虚拟内存的方式来解决因内存不够而导致部署的项目自动挂掉
smile_sundays的博客
07-24 773
(6)这样配置,每次服务器重启,就没了,所以设置开机自动挂载 Swap 分区,编辑文件 /etc/fstab,在下面加入:/var/swap  swap  swap  default  0 0。第一种方法:进行JVM调优可以改善这种情况,但是项目太多,我们的个人服务器配置实在太低,仍然无法解决此问题,这里不做讨论了。(5)启动完项目后,执行: ps aux | grep java 查看所有服务,看看是否还会再挂,一般就不会了。(2)划分虚拟内存分区(大小为2G),执行命令会卡一小会无响应。
Linux初学基本命令
最新发布
yuan20010401的博客
07-25 601
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
60个常见的 Linux 指令
yatingliu的博客
07-25 1331
是 “substitute user” 或 “switch user” 的缩写,它可以让你切换到另一个用户账户,包括 root 用户。是 “manual” 的缩写,通过它你可以访问系统的手册页(manual pages),这些手册页提供了详细的使用说明和参考信息。在一些 Linux 发行版中,adduser 是 useradd 的一个友好封装,功能上类似但提供了更多的默认设置和提示。-f, --force:强制删除,不提示错误信息,即使文件不存在也不会报错。:设置密码过期时间,单位为天。
利用工具检测Linux上是否存在Spectre& Meltdown 漏洞,知道该漏洞如何进行修复。 该两组漏洞是否还存在其他的检测方法? 如何通过微代码对该漏洞进行修复?
06-07
除了使用Spectre-meltdown-checker工具检测Linux上是否存在Spectre和Meltdown漏洞之外,还有其他一些工具可以用于检测和修复这些漏洞,如Intel-SA-00086 Detection Tool和SMIT. 修复Spectre和Meltdown漏洞的方法包括更新操作系统和软件补丁,以及升级硬件。针对Intel CPU的漏洞修复,需要使用微代码更新,通常由操作系统提供的更新程序自动安装。 对于Linux系统,可以通过操作系统提供的微代码更新来修复Spectre和Meltdown漏洞。具体步骤如下: 1. 确认你的CPU型号,通过以下命令查看: ``` cat /proc/cpuinfo | grep "model name" ``` 2. 确认你的CPU型号是否受到Spectre和Meltdown漏洞的影响,可以参考厂商提供的信息,或者使用Spectre-meltdown-checker工具进行检测。 3. 下载并安装最新的微代码更新程序,可以参考操作系统厂商提供的说明文档或官方网站。 4. 重启系统,以使微代码更新生效。 需要注意的是,微代码更新可能会对系统性能产生一定影响,因此在更新之前请备份重要数据,以免造成不必要的损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值