我一直在将一些服务器更新到最新的补丁级别,并想检查有关 Meltdown、Spectre 和 Spectre-NG 的安全状态。
使用当前 V 0.39+spectre-meltdown 检查器我对在运行 CentOS 7 和 VMWare ESXi 6.5(已全部更新)的虚拟机中发现的问题感到非常惊讶。
在这里我发现了“Spectre 2 易受攻击”。
很奇怪。几个月前已经用以下方法修复了这个问题雷特波林。
好的 - 新的检查表明 retpoline 不够。但 CentOS 7 缺少 RSB。因此,唯一剩下的选择是启用 IBRS。
奇怪的是,它不会在启动时自动激活。
因为我不想写一个初始化脚本
echo 1 >/sys/kernel/debug/x86/ibrs_enabled
这将启用 IBRS 并摆脱 Spectre v2(根据脚本的测试结果)。
问题是:在启动时永久启用 IBRS 的最佳方法是什么?
我找不到相应的内核选项。
答案1
1) 虚拟硬件版本 9 是虚拟机管理程序辅助客户机缓解分支目标注入 (CVE-2017-5715) 的最低要求
2)关闭虚拟机然后重新打开(重新启动是不够的)