+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема/сообщение: ошибка CPU L1TF и утечка данных, Proxmox Виртуальная Среда

Madtrick

Guest

22.04.2020 12:03:00

Привет. Чтобы проверить разные вещи, я несколько раз устанавливал PVE на одной и той же машине. Так у меня всегда была свежая система. Машина — Fujitsu RX300 S7 с XEON E5-2630L. После установки я получаю следующее сообщение об ошибке: обнаружен CPU-баг L1TF и включен SMT, возможна утечка данных. Подробности см. в CVE-2018-3646 и https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/l1tf.html. PVE потом обновился, но это не помогло. Сообщение всё равно появляется. После поиска в Google и исследований я не стал умнее. Как закрыть эту дыру в безопасности? Что можно сделать? Переведено с помощью www.DeepL.com/Translator (бесплатная версия)

JL17 Guest	#2 0 16.10.2022 05:57:00 Извини, забыл упомянуть, что использую ZFS. Нашел решение здесь: https://forum.proxmox.com/threads/disable-spectre-meltdown-mitigations.112553/ nano /etc/kernel/cmdfile (измени эту строку) root=ZFS=rpool/ROOT/pve-1 boot=zfs mitigations=off proxmox-boot-tool refresh reboot Спасибо всем!

SInisterPisces Guest	#3 0 11.01.2024 08:52:00 Только что настроил PVE-ноду на Dell Optiplex 5040. При загрузке выдаёт вот это предупреждение. В домашнем серверном окружении, насколько сильно мне стоит беспокоиться о потенциальной утечке данных из-за этого?

naptime Guest	#4 0 24.09.2024 00:06:00 ВНИМАНИЕ: [Proxmox 8.2.2] У меня это сработало, но нужно правильно указать имя файла, как показано ниже: Неправильный путь к файлу: nano /etc/kernel/cmdfile Правильный путь к файлу: nano /etc/kernel/cmdline

aj@root

Guest

07.04.2025 00:36:00

Возрождаю эту тему из небытия, потому что друг упомянул этот пост, а тут ещё и вопрос возник: Для справки, это вопрос доверия. Запускаете ли вы ненадежный код в своей среде? Есть ли у вас ненадежные устройства в сети, использующие сервисы, предоставляемые VM или контейнерами? Есть ли у вас сервисы с доступом в Интернет? Насколько они публичны? Какова вероятность того, что ненадежный пользователь получит к ним доступ? Если это комфорт вашего дома, вы не открываете его для внешнего мира, устанавливаете только то программное обеспечение, которому доверяете, и не являетесь объектом интереса каких-либо спецслужб… вы в порядке. Если вы Эдвард Сноуден или намеренно скачиваете вредоносное ПО, чтобы протестировать его в среде ловушки (honeypot)… лучше не стоит, или хотя бы сделайте это полностью отдельно от всего, что вам дорого. Если вы используете Ubuntu и Plex, то всё в порядке. Если вы заказываете случайные IoT-гаджеты с AliExpress и сразу подключаете их к домашней сети без защиты, это, вероятно, гораздо более серьезная и практичная проблема сама по себе. Если вы предлагаете бесплатное VPS-хостинг для друзей из дома и понятия не имеете, что они с ним делают… попадаете в зыбкую территорию. Если вы банковский служащий или госслужащий. Не делайте этого.

JL17

Guest

16.10.2022 05:48:00

Спасибо за ответ! Попробовал сделать, но предупреждение всё ещё есть: изменил эту строку в /etc/default/grub: GRUB_CMDLINE_LINUX_DEFAULT="quiet mitigations=off". Выполнил update-grub и перезагрузился, но предупреждение осталось. Может, я что-то сделал не так?

leesteken

Guest

15.10.2022 22:26:00

Ты можешь попробовать исправить это, отключив гиперпоточность в BIOS (или используй параметры ядра nosmt=force в маловероятном случае, если в BIOS нет такой опции). ИЗМЕНЕНИЕ: Оказывается, можно отключить и без исправления проблемы.

mac.linux.free Guest	#8 0 15.10.2022 22:50:00 Да, это можно отключить: nano /etc/default/grub, добавить в строку ядра mitigations=off, update-grub, reboot. Предупреждение пропало.

Stefan_R

Guest

22.04.2020 12:49:00

Это не сообщение об ошибке, а предупреждение. Оно просто говорит тебе, что у тебя включена технология Hyper-Threading (SMT), что означает, что злонамеренная гостевая машина виртуальной машины теоретически может получить доступ к конфиденциальным данным на хосте (как описано в ссылке на kernel.org, которую ты прислал). Это аппаратный недостаток в системах Intel, и, насколько я знаю, его можно устранить только путем отключения Hyper-Threading (SMT), обычно это делается в BIOS. Учитывай, что это повлечет за собой (потенциально ощутимую) потерю в производительности.

Madtrick Guest	#10 0 22.04.2020 13:37:00 Ох, да, точно. Это просто предупреждение. Спасибо за ответ. Теперь я понимаю, что это значит.

JL17 Guest	#11 0 15.10.2022 22:19:00 Можно отключить это предупреждение?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры