"스펙터 (Spectre)"보안 취약점은 "레토 폴린 (Retpoline)"이 위험을 완화하는 솔루션으로 소개되었습니다. 그러나 나는 언급 한 게시물을 읽었습니다.
없이 커널을 빌드하는 경우
CONFIG_RETPOLINE썽크 기호가 내보내지지 않기 때문에 retpoline으로 모듈을 빌드 한 다음로드 할 것으로 예상 할 수 없습니다.retpoline으로 커널을 빌드하면 retpoline 으로 빌드되지 않은 모듈을 성공적으로로드 할 수 있습니다 . ( 소스 )
커널에 "Retpoline"이 활성화되어 있는지 확인하는 쉽고 일반적인 / 일반 / 통합 방법이 있습니까? 설치 프로그램이 적절한 커널 모듈 빌드를 사용할 수 있도록 설치하고 싶습니다.
답변:
메인 라인 커널 또는 대부분의 주요 배포판 커널을 사용하는 경우 전체 retpoline 지원을 확인하는 가장 좋은 방법은 ( 즉 , 커널이로 구성 CONFIG_RETPOLINE되어 있고 retpoline 가능 컴파일러로 빌드 된 경우)“전체 일반 retpoline을 찾는 것입니다. 에서”입니다 /sys/devices/system/cpu/vulnerabilities/spectre_v2. 내 시스템에서 :
$ cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Mitigation: Full generic retpoline, IBPB, IBRS_FW
보다 포괄적 인 테스트를 원한다면 spectre_v2systree 파일 없이 커널에서 리포 틀린을 탐지 하려면 어떻게되는지 확인하십시오 spectre-meltdown-checker.
head /sys/devices/system/cpu/vulnerabilities/*나 자신을 선호하지만 ;-) 유용하다 . 현재 Meltdown / Spectre 취약점을 다루고 있지만 유사한 성격의 향후 취약점도 다루어야합니다 (네임 스페이스는 일반적으로 일반적입니다).
head더 좋은 형식의 출력을 제공합니다.
retpoline 지원에는 새로운 컴파일러 버전이 필요하기 때문에 Stephen Kitt의 답변은이 특정 경우에보다 포괄적입니다.
그러나 일반적으로 대부분의 배포판에는 다음 위치 중 하나에서 커널 구성 파일을 사용할 수 있습니다.
/boot/config-4.xx.xx-.../proc/config.gz그럼 간단하게 zgrep CONFIG_RETPOLINE /boot/config* /proc/config.gz
/boot/config*발견 CONFIG_RETPOLINE되어 잘못된 보안 감각을 제공 할 수 있기 때문에 grepping하지 않는 것이 좋습니다 . 검사 /proc/config.gz하거나 /sys/...안전하지만 많은 Linux 배포판에서 커널을 컴파일하지 않고 컴파일합니다 /proc/config.gz.
/boot/config-$(uname -r)?
/boot/config-$(uname -r)것도 완벽하지는 않습니다. 구성이 실행중인 커널과 일치한다고 보장하지는 않습니다. uname -r커널 ABI가 변경되지 않는 한 Distro 커널은 여러 버전 에서 동일하게 유지 됩니다.
$ grep . /sys/devices/system/cpu/vulnerabilities/*에서 제안 된을 실행하십시오 .