2018년 1월 Intel CPU 버그 가 알려지면서 IT 업계는 엉망이 되었습니다.
해킹 될 수 있다는 두려움에, 각 벤더나 OS에서는 버그 패치를 내 놓기 바빴구요.
문제는, 버그 패치를 한 후 성능 저하 입니다.
지금은 많은 달라졌을 수도 있지만, 하기의 내용은 신규 설치된 커널에서 CPU버그 패치를 끄는 것 입니다.
전 적으로 따라 하시는 분의 책임 입니다.
저는 테스트서버에 설정하고 사용 중 입니다.
* 커널 사이드 채널 공격
grubby --update-kernel=ALL --args="spectre_v2=off nopti"
grubby --update-kernel=ALL --args="spec_store_bypass_disable=off"
grubby --update-kernel=ALL --args="mds=off"
grubby --update-kernel=ALL --args="nospec_store_bypass_disable spec_store_bypass_disable=off"
grubby --update-kernel=ALL --args="nosmt=force l1tf=off"
위 까지 하시면 grub파일에 적용이 됩니다.
서버를 리부팅 하시면 아래의 내용이 적용된 것입니다.
- Spectre 2, Spectre 3
- grub 설정에서 spectre_v2=off nopti 설정 추가
- 참조: https://access.redhat.com/security/vulnerabilities/speculativeexecution
* 추측성 저장 우회
- Spectre 4
- grub 설정에서 nospec_store_bypass_disable spec_store_bypass_disable=off 추가
- 참조: https://access.redhat.com/security/vulnerabilities/ssbd
* L1 Terminal Falult Attack
- L1 Terminal Fault Foreshadow
- grub 설정에서 nosmt=force l1tf=off 추가
- 참고: https://access.redhat.com/security/vulnerabilities/L1TF
* MDS
- MDS Microarchitectural Data Sampling
- grub 설정에서 mds=off 추가
- 참고: https://access.redhat.com/security/vulnerabilities/mds
'Linux Tech ' 카테고리의 다른 글
| iscsi 구성 후 reboot 시 볼륨이 보이지 않을때는 (0) | 2021.12.14 |
|---|---|
| etc/fstab 설명 - 작성 중 (0) | 2021.12.14 |
| Linux 권한 초기화 - Redhat 계열 (0) | 2021.12.14 |
| virt-manager 일반유저 권한 주기 (0) | 2021.12.14 |
| Ubuntu Ntp Server Setting (0) | 2021.12.09 |