如何在Linux系統中檢查和修復Meltdown CPU漏洞？

---

介紹

2018年初發布的訊息震驚了IT行業：英特爾CPU中存在以前未知的硬體漏洞。這個被稱為“Meltdown”（熔燬）的漏洞可能使駭客能夠訪問計算機上的敏感資料，例如密碼、加密金鑰和登入憑據。在最壞的情況下，它可能允許攻擊者完全控制您的系統，而不會留下任何活動痕跡。

瞭解Meltdown漏洞

Meltdown漏洞是一個影響現代處理器（包括大多數基於Linux的系統中的處理器）的安全缺陷。此漏洞利用了現代CPU的一個基本特性，即推測執行。

此特性允許CPU在確認任務必要性之前執行任務，這可以顯著提高效能。但是，這也意味著敏感資料可能在應該訪問之前就被載入到記憶體中，從而使其容易受到攻擊。

工作原理說明

Meltdown漏洞利用推測執行，允許攻擊者訪問他們不應該訪問的記憶體。具體來說，攻擊者可以使用此漏洞讀取特權核心記憶體或來自同一系統上執行的其他程序的其他敏感資訊。這是可能的，因為處理器沒有正確檢查根據當前使用者的許可權是否應該訪問訪問的資料。

它可能對您的系統造成的影響

Meltdown的影響取決於系統和正在處理的資料型別。但是，總的來說，成功利用此漏洞的攻擊者可能會訪問任何給定時刻儲存在記憶體中的密碼、加密金鑰和其他敏感資訊。

這對企業和個人都構成重大威脅，因為它使攻擊者能夠繞過防火牆和防毒軟體等安全措施。此漏洞的利用也可能顯著降低系統性能，因為旨在減輕此問題的補丁可能會增加處理開銷。

檢查Linux系統中的Meltdown漏洞

使用命令列工具檢查漏洞

要檢查您的系統是否受到Meltdown漏洞的影響，您可以使用名為“spectre-meltdown-checker”的命令列工具。此工具檢查您的系統是否容易受到Meltdown和Spectre攻擊。要安裝此工具，您可以按照以下步驟操作：

• 開啟終端並以root使用者或使用sudo許可權登入。

• 透過鍵入以下命令更新軟體包索引：

sudo apt-get update  

• 透過鍵入以下命令安裝“spectre-meltdown-checker”軟體包：

sudo apt-get install spectre-meltdown-checker  

• 安裝完成後，執行以下命令：

sudo spectre-meltdown-checker  

然後，該工具將掃描您的系統，並提供有關其是否容易受到Meltdown漏洞影響的資訊。

驗證您的系統是否受到漏洞的影響

如果您更喜歡對系統漏洞狀態進行更詳細的分析，可以使用另一個名為“Meltdown and Spectre Vulnerability Detector (mssss)”的命令列工具。此工具在執行時對所有可用資料結構進行深入分析，以檢測任何可能的利用嘗試。要安裝此工具，請按照以下步驟操作：

• 從其官方GitHub儲存庫下載原始碼包。

• 解壓軟體包內容：

tar -xf mssss.tar.gz cd mssss/  

• 使用GCC編譯它：

gcc -o msss main.c 
./msss -a  

這將編譯並執行詳細的檢測指令碼，該指令碼提供有關您的系統是否受到Meltdown和Spectre漏洞影響的結果。

透過使用這些工具，您可以快速輕鬆地評估您的系統是否容易受到Linux系統中的Meltdown CPU漏洞的影響。一旦知道您的系統是否容易受到攻擊，您就可以採取必要的步驟來修補漏洞。

修補Linux系統中的Meltdown漏洞

現在我們知道了如何檢查我們的系統是否受到Meltdown漏洞的影響，是時候採取行動並修補它了。有兩種方法可以做到這一點：透過更新核心或手動應用補丁。

將您的核心更新到已修補的版本

修補Meltdown漏洞最簡單也是最推薦的方法是更新核心。大多數主要的Linux發行版已經發布了包含必要補丁的更新核心，以減輕此漏洞的影響。要在基於Ubuntu或Debian的發行版上更新核心，請使用以下命令：

sudo apt update && sudo apt upgrade && sudo apt autoremove

這將更新系統上的所有軟體包，包括核心及其相關的模組。更新完成後，重新啟動系統以使更改生效。

手動應用補丁以減輕漏洞的影響

如果由於任何原因您無法更新核心或不想更新核心，您仍然可以手動應用補丁。此方法需要更多技術知識，並且可能比更新核心風險更大，但在某些情況下可能很有用。要手動應用補丁，您首先需要從受信任的來源（例如官方Linux儲存庫或供應商網站）下載並編譯補丁。

然後，您必須透過命令列工具（如“patch”或“diff”實用程式）應用它們。以下是如何在Ubuntu中應用補丁的示例：

wget https://kernel.linux.club.tw/pub/linux/kernel/v4.x/patch-4.14.xx.gzzcat patch-4.xx.gz | patch -p1 --verbose 

這將從Kernel.org下載補丁檔案（將xx替換為最新版本），然後使用patch實用程式應用它。應用補丁後，重新啟動系統以使其生效。

保護您的系統免受未來漏洞侵害的最佳實踐

使您的系統保持最新的安全補丁

保護您的Linux系統免受安全漏洞侵害的最佳方法之一是使其保持最新的安全補丁。大多數Linux發行版預設情況下都啟用了自動更新，但仍然重要的是檢查並確保所有軟體都定期更新。

發現新漏洞後，開發人員會快速建立併發布補丁。在釋出補丁後儘快更新您的系統有助於確保您免受最新威脅的侵害。

定期監控和測試系統的安全措施

保護您的Linux系統免受漏洞侵害的另一個重要方法是定期監控和測試其安全措施。這包括防火牆設定、使用者許可權和訪問控制等方面。透過定期監控這些設定，您可以識別潛在漏洞，然後再被惡意行為者利用。

此外，測試系統的安全措施可以幫助識別需要解決的弱點。需要注意的是，監控和測試應該是一個持續的過程，而不是一年進行一兩次。

定期稽核許可權和審查日誌可以幫助及早發現未經授權的訪問嘗試或可疑活動。在此過程中，還必須為系統上的所有使用者制定強大的密碼策略，例如密碼複雜性要求、雙因素身份驗證等。

使您的系統保持最新的安全補丁並定期監控其安全措施對於防止Linux系統中的未來漏洞至關重要。透過長期持續地遵循這些最佳實踐，您可以顯著降低伺服器網路上漏洞利用的風險。

結論

在本文中，我們討論了Meltdown CPU漏洞及其對Linux系統的影響。我們介紹瞭如何使用命令列工具檢查您的系統是否受到漏洞的影響，並對其進行了驗證。

我們還討論了可用於減輕Linux系統中Meltdown漏洞的修補策略。我們介紹了兩種方法：將核心更新到已修補的版本或手動應用補丁。