DeathMarch.net

カメラや写真、RaspberryPiやLinux関連の活用方法、普段使っているモノのレビューや自作したものを写真多めで紹介します。

Linux ガジェット

KUSANAGI for さくらのVPSでIntel Meltdown/Spectre対策を実施した

投稿日:2018年2月3日 更新日:

LINEで送る
Pocket

2018年になってからというもの、Intelプロセッサの脆弱性について報道されています。MeltdownとSpectreと呼ばれ、かなり広範囲のユーザに影響があります。今回は、VPSで脆弱性対策を実施したので対策手順と結果について紹介しようと思います。

スポンサーリンク

 

脆弱性「Meltdown/Spectre」とは?

Intel系の大多数の製品に存在する脆弱性です。
影響する製品や何が起きるの?というのは他サイトでも紹介されているので今回は割愛します。Wikipediaにも記事があるので参考にして下さい。

 

VPSでも対策を行う必要があるのか?

早速本題になりますが、VPSでは利用者側での対策が必要です。
さくらインターネットの場合、以下のサイトで公式にアナウンスされていますので、使っているサービスで対策が必要なのかチェックしましょう。

さくらのサポート情報
MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について
2018年1月3日、下記の脆弱性情報が発表されました。 このページでは、今回発覚した脆弱性に対する弊社の対応状況をまとめています。----------------------------------...

私の場合、KUSANAGI for さくらVPSを利用しているので、今回の対策が必要です。

 

脆弱性対策では何をすれば良いのか?

Linuxカーネルのアップデートが必要になります。
無闇にアップデートが必要すれば良いというものではないので、脆弱性が存在するか診断しましょう。

以下サイトから診断スクリプトを取得し、管理者権限で実行するだけで診断が可能です。

# wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
# sh spectre-meltdown-checker.sh

脆弱性がある場合は、以下のような結果になるはずです。

少し見にくいかもしれませんが、CVE-2017-5753、CVE-2017-5715、CVE-2017-5754いずれかの項目がVULNERABLEとなっている場合は脆弱性がある状態ですので、対策が必要です。

 

Linuxカーネルをアップデートする

まずは、現在のカーネルバージョンを確認します。

# uname -r

次に、yumコマンドでアップデートが存在するか確認します。

# yum check-update kernel

上記コマンドの結果で、現在より新しいカーネルバージョンのものが見つかればOKです。
ここまで確認できたら下記コマンドでLinuxカーネルのみアップデートを行います。

# yum update kernel

上記コマンド実行後、依存性を確認したらダウンロードしても良いか?という確認があると思いますので、yを入力して次に進みます。
しばらくすると、インストールが完了します。

 

新しいカーネルで確認する

Linuxカーネルをアップデートしたら再起動が必要です。VPSで動作しているサービス等に影響が出ない時間帯などに再起動を行いましょう。
再起動後、unameでカーネルバージョンを確認しましょう。新しいバージョンが適用されているはずです。

カーネルが新しくなっていることを確認し、再度脆弱性の確認を行います。

対策前と異なり、CVE-2017-5753、CVE-2017-5715、CVE-2017-5754NOT VULNERABLEとなっていれば対策完了です。

 

最後に

いかがでしょうか。
本対策を実施することにより、性能が悪くなるという話も出ているようですが、危険なセキュリティホールを放置して運用するのは有りえないと思います。

まずは一安心ということで、新しい情報があれば対応していきたいと思います。

スポンサーリンク
LINEで送る
Pocket

-Linux, ガジェット
-,

執筆者:


comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

関連記事

ラズパイで朗読

RaspberryPiに小説を朗読してもらう(実装編)

ラズパイでできること…RaspberryPiに小説を朗読してもらうことにしよう! 今回は機能実装をします!

本格的な夏を迎える前に自宅サーバの健康診断と掃除をしよう

本格的に暑い時期になります。年に一度の健康診断の意味も込めて自宅サーバを掃除しました。

certificate

KUSANAGIのSSL証明書が切れそうなのに更新できなくて苦労した

KUSANAGI(WordPress)のSSL証明書(Let’s Encrypt)が自動更新されていませんでした。更新するまでの手順を紹介します。

RaspberryPi

ラズパイにOpenJTalkを入れて喋ってもらうまでの手順

RaspberryPi 3にOpenJTalkのソースをコンパイルしてインストールしました。 アイデア次第でなんでも喋ってくれます。

外観

Focusrite Scarlettでハイレゾ試聴環境を構築してみた

最近ハイレゾ、ハイレゾ…と目にする機会が増えてきたので、そろそろハイレゾ環境を構築してみようと思い、オーディオインターフェースであるFocusrite Scarlettを使ってハイレゾ鑑賞環境を構築し …

2020/04/26

IKEAの「LILLABO」でプラレールとBRIOとプチ電車を比較して分かったこと

電車のおもちゃって種類が色々あるけど、ちゃんとレール走れるのかな?ということで検証してみました。

Mac mini 2018

2019/12/09

Mac mini 2018をレビュー!周辺機器も紹介します!

自宅メイン機の刷新でMac mini 2018を購入しました!購入したモデルの詳細とレビュー、現在使っている周辺機器を紹介します!

2019/12/09

自宅で薪作りをするために電動チェーンソーCS-2501を購入!

自宅で薪作りをするため、電動チェーンソーを追加購入しました。STIHL MS170と比較しながらRYOBI CS-2501をレビューしてみようと思います!

外観

2019/12/07

Focusrite Scarlettでハイレゾ試聴環境を構築してみた

最近ハイレゾ、ハイレゾ…と目にする機会が増えてきたので、そろそろハイレゾ環境を構築してみようと思い、オーディオインターフェースであるFocusrite Scarlettを使ってハイレゾ鑑賞環境を構築し …

2019/03/11

METIS PLUSとASRock J4105-ITXで省電力・静音録画サーバを作る

録画サーバのリプレースとして、METIS PLUSとASRock J4105-ITXを使って自作サーバを構築したので紹介しようと思います。ちなみに自作PC初体験でした。