CentOS
centos7
Spectre
Meltdown

【CentOS 7.x】Meltdown / Spectre 対応記録

対応した環境

  • Conoha の VPS で 構築された CentOS 7.x のサーバ
  • Azure の VM で 構築された CentOS 7.x のサーバ

対応方法

基本手順は次のサイトを参考に。
チェック方法として uname -r 以外に診断ツール(下記に記載)を実行する。

サーバーにログインして以下の手順を実施

  1. 現在のkernelバージョンをチェック コマンド:uname -r
  2. バージョンがOSバージョンごとに異なるのでチェック
    • CentOS6系なら「kernel-2.6.32-696.18.7.el6.x86_64」より前のバージョンであることを確認
    • CentOS7系なら「kernel-3.10.0-693.11.6.el7.x86_64」より前のバージョンであることを確認
  3. アップデートコマンドを実施:yum update kernel
  4. OSを再起動して、再度確認コマンドを実施:uname -r
    • バージョンがそれぞれ以下であることを確認
      • CentOS6系なら「kernel-2.6.32-696.18.7.el6.x86_64」
      • CentOS7系なら「kernel-3.10.0-693.11.6.el7.x86_64」

https://www.rbkyan.com/blog/2018/01/07/meltdownとspectreにどう対応したらよいのか?/

上記対応を行っても Spectre Variant 2 が VULNERABLE で 残る場合

診断スクリプトは、以下のコマンドを実行しろと言っているが、-bash: echo: write error: No such device で失敗する。その場合は BIOS Update が必要らしいので、VM 基盤の対応待ち。

echo 2 > /sys/kernel/debug/x86/ibrs_enabled
echo 1 > /sys/kernel/debug/x86/ibpb_enabled

https://serverfault.com/questions/890904/i-updated-my-centos-7-system-why-is-meltdown-spectre-only-partially-mitigated

診断方法

診断スクリプトをダウンロードして実行

wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
sudo sh ./spectre-meltdown-checker.sh

https://news.mynavi.jp/article/20180109-linux_vulnerability/