Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Problemów nie miałam, kernel 4.15 z 28 stycznia ładnie się kompiluje, ale trzeba pamiętać o aktualizacji GCC.
Na szybko zainstalowałam mikrokody Intela z dystrybucji MX-15:
apt-cache policy intel-microcode intel-microcode: Zainstalowana: 3.20180123really20171117.1+mx15 Kandydująca: 3.20180123really20171117.1+mx15 Tabela wersji: *** 3.20180123really20171117.1+mx15 100 99 http://mxrepo.com/mx/repo mx15/non-free amd64 Packages 100 /var/lib/dpkg/status
Teraz mam już 3x "NOT VULNERABLE".
./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.33+
Checking for vulnerabilities on current system
Kernel is Linux 4.15.0-gcc-patch-unsigned-security #1 SMP PREEMPT Tue Jan 30 00:40:32 CET 2018 x86_64
CPU is Intel(R) Celeron(R) CPU 2.80GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
[u] * CPU microcode is known to cause stability problems: NO [/u]
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
[b]> STATUS: NOT VULNERABLE [/b] (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
[u] * Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)[/u]
* Retpoline enabled: YES
[b]> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)[/b]
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
[b]> STATUS: NOT VULNERABLE (Mitigation: PTI)[/b]
A false sense of security is worse than no security at all, see --disclaimer[/quote]
Ładnie wygląda, ale co z tego :)Ostatnio edytowany przez Renia (2018-01-30 19:02:45)
Instalacja E-Deklaracje na Debianie 64-bit:
https://forum.dug.net.pl/viewtopic.php?pid=301794#p301794
Offline
Zazdro. Szkoda że nia ma gotowej paczki deb :D a komputer jak sie zachowuje? Jest wolniej? Stabilnie? Co to za microcode? Nieoficjalne? MX repo? Co to? Dla jakiego debiana to to jest? Przepraszam ale nie ogarniam jak Ty ;-)
Offline
Co do MX http://teharris.net/ i http://mxrepo.com/ Tylko nie wiem gdzie do 17 dali repo. Ogólnie MEPIS, Antix i MX Linux - bardzo konkretna ekipa, wspomagają też i Debiana dla przykładu http://forums.debian.net/viewtopic.php?f=6&t=127574
Offline
MX to fork debiana z usprawnieniami ? łatają szybciej od oficjalnej wersji?
Offline
@KerneLpaniC
MX to taka fajna dystrybucja oparta na Debianie, mają czasami szybciej nowe programy niż inni, mikrokody są w ich repo: http://mxrepo.com/mx/repo/pool/non-free/i/intel-microcode/
Mój kernel 4.15 jak na razie działa stabilnie, nie "wywraca się" jak ten z Ubuntu. Jak chcesz potestować mogę udostępnić pliki deb i źródła.
Offline
Debian > Antix > MX , chyba tak? Z tą różnicą, że Antix może być ustawiony na Stable, Testing, Sid, a MX jedzie na Stable. Jedna z niewielu dystrybucji w której [b]panują[/b] nad warstwą wizualną i [b]nad tym co pod maską[/b]. [b]Systemd[/b] jest "[b]disabled by default[/b]" (to akurat wada ;) ). Google [b]Chrome[/b], stery Nvidii czy kernel [b]Liquorix[/b] instalujesz przez [b]"ptaszkowanie"[/b] lub kliknięcie ikonki w menu. Dużo nakładek graficznych np. na Conky, klikasz i wybierasz co ci się podoba + od razu możliwość poprawienia konfigu.
Ostatnio edytowany przez ciastek1981 (2018-01-31 00:09:24)
Offline
Dzięki za info ;-)
@Renia jeśli to nie problem dla Ciebie.. ;-) to poproszę, wciąż mało jeszcze wiem:)
Offline
Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/
Offline
[quote=Renia]Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/[/quote]
Nie używam kerneli aptosida - w 4.14 nie było PTI i reptoline?
Offline
[quote=sir_lucjan][quote=Renia]Tymczasem pojawił się kernel 4.15 w Aptosidzie z zaaplikowanym Page Table Isolation oraz retpoline: http://aptosid.com/debian/pool/main/l/linux-aptosid/[/quote]
Nie używam kerneli aptosida - w 4.14 nie było PTI i reptoline?[/quote]
U mnie 4.14.14 ma oba mechanizmy wlączone:
egrep -i 'isolat|retpoline' /boot/config-4.14.14-g1 CONFIG_RETPOLINE=y CONFIG_PAGE_TABLE_ISOLATION=y
Aktualne jajo Debiana Bustera też jest jako-tako załatane:
egrep -i 'isolat|retpoline' /Debian/boot/config-4.14.0-3-amd64 CONFIG_MEMORY_ISOLATION=y CONFIG_PAGE_TABLE_ISOLATION=y
Ostatnio edytowany przez Jacekalex (2018-02-01 01:14:01)
Offline
To sobie jeszcze zobaczcie w 4.14, czy retpoline macie full, czy minimal:
grep . /sys/devices/system/cpu/vulnerabilities/* /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline uname -a Linux renia 4.15.0-0.slh.1-aptosid-amd64 #1 SMP PREEMPT aptosid 4.15-1 (2018-01-28) x86_64 GNU/Linux cat /proc/version Linux version 4.15.0-0.slh.1-aptosid-amd64 (s.l-h@gmx.de) (gcc version 7.3.0 (Debian 7.3.0-1)) #1 SMP PREEMPT aptosid 4.15-1 (2018-01-28)
Przy [i]Full generic retpoline[/i] skrypt spectre-meltdown-checker pokaże takie info: [i]* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)[/i]
Aby to uzyskać kernel musi być skompilowany z gcc w wersji nie mniejszej niż 7.3.
Ostatnio edytowany przez Renia (2018-02-01 08:03:45)
Offline
Mój kernel jest załatany:
[lucjan@archlinux ~]$ grep . /sys/devices/system/cpu/vulnerabilities/* /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline [lucjan@archlinux ~]$ uname -a Linux archlinux 4.14.16-1-bfq-sq-mq-haswell-git #1 SMP PREEMPT Wed Jan 31 18:49:26 CET 2018 x86_64 GNU/Linux
Z tego co widziałem, stockowy kernel także.
Ostatnio edytowany przez sir_lucjan (2018-02-01 15:27:01)
Offline
Załatane, jak pobierze się kernel i skompiluje nowym GCC.
Kernele debianowe mają tylko PTI. Po prostu pokażcie wynik spectre-meltdown-checker to lepiej będzie widać co jest załatane i czy jest aktywne.
Offline
Póki co sid wygląda tak (przynajmniej u mnie xD):
[img]https://i.imgur.com/KHqPcX4.png[/img]
Tak i wiem, że znowu się zaczniecie czepiać o wyjście z terminala w obrazku, ale naprawdę o wiele czytelniejsze jest takie wyjście niż zwykły czarny tekst w znacznikach code. xD
Offline
W Debianie jest wersja [url=https://packages.debian.org/sid/linux-image-amd64]4.14[/url] z 14 stycznia:
https://security-tracker.debian.org/tracker/CVE-2017-5753
Offline
Pojawiła się kolejna aktualizacja kernela 4.15 w Aptosidzie więc praktycznie nie ma sensu męczyć się z robieniem własnego. Ale z ciekawości skompilowałam najświeższy 4.15.1 i oto wynik:
./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.34
Checking for vulnerabilities on current system
Kernel is Linux 4.15.1-gcc-patch-unsigned-security #1 SMP PREEMPT Sun Feb 4 23:27:11 CET 2018 x86_64
CPU is Intel(R) Celeron(R) 2.80GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
[u][i] * CPU microcode is known to cause stability problems: NO[/i][/u] (model 60 stepping 3 ucode 0x22)
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
[b]> STATUS: NOT VULNERABLE [/b] (Kernel source has been patched to mitigate the vulnerability (silent backport of array_index_mask_nospec))
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
[u][i] * Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: YES [/i][/u]
[b]> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)[/b]
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
[u][i]* PTI enabled and active: YES [/i][/u]
* Running as a Xen PV DomU: NO
[b]> STATUS: NOT VULNERABLE (Mitigation: PTI)[/b]
A false sense of security is worse than no security at all, see --disclaimer[/quote]
Instalacja E-Deklaracje na Debianie 64-bit:
https://forum.dug.net.pl/viewtopic.php?pid=301794#p301794
Offline
to ja już sam nie wiem czy czekać na łaty dla stretcha czy instalować z aptosida ;(
Offline
Długo możesz poczekać, bo GCC 7.3 jest dopiero w Unstable, a kompilacja z reptoline niższą wersją GCC ma średni sens. Kernel z Aptosida jest OK moim zdaniem, mam go jako drugi.
Ostatnio edytowany przez Renia (2018-02-05 12:48:32)
Offline
@Renia a czy w wolnej chwili mogłabyś mi napisać jakie pliki deb zainstalować i co w terminalu ewentualnie wklepać bo ja nie ogarniam tak mocno a kernele to kiedyś dawno w ubuntu sobie zmieniałem.
Mam 64bit system na intelu
Offline
Dodaj sobie do pliku /etc/apt/sources.list repozytorium Aptosida:
deb http://aptosid.office-vienna.at/aptosid/debian/ sid main fix.main
Potem:
sudo apt-get update sudo apt-get install aptosid-archive-keyring sudo apt-get update sudo apt-get install linux-image-4.15.0-0.slh.2-aptosid-amd64 sudo update-grub
Ostatnio edytowany przez Renia (2018-02-05 14:11:09)
Offline
dzięki wielkie ;-)
instalacja bez problemu ale przy starcie systemu sypało errorami
dwa procek się grzał o 10stopni wiecej niz zwyczajnie, do tego dziwna praca wiatraka
skrypt pokazywał ze jestem odporny tylko na meltdown i tylko jedną z wersji spectre więc coś nie tak
wróciłem do 4.9.0-5 ;p
Ostatnio edytowany przez KerneLpaniC (2018-02-05 14:53:52)
Offline
Co to za sprzęt? Laptop? Widocznie kernel Aptosidowy mu nie służy.
Offline
@Renia tak lapek ;-)
Offline
Jak już instalujecie kernele to instalujcie "metapakiety", typu: linux-image-aptosid-amd64 , wtedy będzie wam automatycznie aktualizował się kernel ile tylko wypuszczą nową wersję.
Offline
Metapakiety oczywiście lepiej, ale ten akurat pociągnie headers i jego zależności, a nie każdemu to potrzebne. Twórca Aprosida lubi laptopy, ale Acera, widzę, że łata pod tym kątem :)
Co do 4.15 myślę, że może wkrótce być w Experimental, bo siedzi tam wersja 4.15.0-rc8, kolejna wersja powinna być już z reptoline. Pod Debiana to raczej pewniejszy kernel niż innej dystrybucji.
Offline
Time (s) | Query |
---|---|
0.00026 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00216 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.8.247' WHERE u.id=1 |
0.00079 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.141.8.247', 1714726496) |
0.00088 | SELECT * FROM punbb_online WHERE logged<1714726196 |
0.00114 | DELETE FROM punbb_online WHERE ident='18.224.73.125' |
0.00065 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30168 AND t.moved_to IS NULL |
0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
0.00917 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30168 ORDER BY p.id LIMIT 150,25 |
0.00115 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30168 |
Total query time: 0.01633 s |