Oft wenn sich zwei grosse Marktteilnehmer in den Entwicklungskrieg begeben werden Sicherheitsaspekte gerne vernachlässigt. Schöne Beispiele haben uns z.B. Bridgestone oder Boing gegeben, als in Indianapolis die F1 Teams nicht starten konnten, weil die Bridgestone Reifen der Belastung der letzten Kurve nicht gewachsen waren oder weil das Max Modell von Boing bis auf weiteres am Boden bleiben muss. Auf dem Prozessormarkt mussten wir dies bei Intel erleben, die Schlagwörter sind hier Spectre, Meltdown oder Heartbleed. Ob Dein Prozessor betroffen ist, sagt Debian Dir.
Welchen Prozessor Du hast, erfährst Du mit:
cat /proc/cpuinfo
Ob Du betroffen bist steht im Log des Systemstarts, aufzurufen mit:
dmesg
suche dort nach Hinweisen, Fehler werden rot ausgeworfen, Hinweise mit Verweis auf entsprechende Seiten im Netz markiert, z.B. (für spätere Vergleiche das ganze Output am besten in eine separate Datei kopieren…)
https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html
Hier bekommen wir den Hinweis auf den Pfad:
/sys/devices/system/cpu/vulnerabilities
All diese Schwachstellen sind nicht ohne umfangreiche Kenntnisse ausnutzbar, ob Dich das also jetzt interessiert oder ob Du das alles übertrieben findest, musst Du selbst entscheiden. Intel hat einige Probleme mittels „microcodeupdates“ ausgeräumt, andere werden wohl nie beseitigt werden können. Ich würde aber immer empfehlen so weit wie möglich abzusichern und alle Schalter zu setzen, auch wenn sie mit teils erheblichen Leistungseinbußen verbunden sind. Ein Firewallrouter im Heimnetz wird trotzdem eher unwahrscheinlich auch nur annähernd an seine Leistungsgrenze stoßen.
Also, was kann man machen?
Erster und wichtigster Schritt ist ein Bios auf dem neuesten Stand. Dazu schaust Du beim Systemstart mit F2 ins Bios ( natürlich wieder mit Monitor am Server ). Dort findest Du Deine Version. ( Meist taucht sie auch kurz im Bootprompt auf ).
Im nächsten Schritt suchst Du auf der Webseite des Mainboardherstellers nach Deinem Mainboard und dann nach verfügbaren Bios-Firmware-Versionen. Lade und installiere die neueste Version, halte Dich dabei GENAU an die Vorgaben des Herstellers. Meist muss die Firmware auf einen bootfähigen USB-Stick geladen werden und damit der Rechner gebootet werden. Die Betonung liegt hier bei GENAU, es ist ein leichtes sein Board so zu killen!
Als nächstes wird die /etc/apt/sources.list angepasst:
deb http://ftp.de.debian.org/debian/ buster contrib main non-free
wird dort eingefügt und ein apt update aufgerufen. Alsdann lässt sich
apt install iucode-tool intel-microcode
installieren.
Haben wir auch Hinweise auf SMT / MDS gefunden sind weitere Schalter zu setzen:
In der Datei /etc/default/grub ist gemäß den Hinweisen auf kernel.org einzufügen:
GRUB_CMDLINE_LINUX_DEFAULT=“quiet mds=full,nosmt„
Nun ein update-grub und ein reboot, und zumindest SMT sollte nicht mehr aktiv sein.
siehe
dmesg | grep SMT
ob intel-microcode weitergeholfen hat, kann man jetzt anhand der kopierten Datei von vorhin gut vergleichen. Auch ein erneuter Blick in die
/sys/devices/system/cpu/vulnerabilities
Abteilung zeigt ob sich was getan hat.
next > Raid Failure