Отключение средств защиты от Spectre и Meltdown
Для межсетевых экранов Cisco IOS:
Благодаря комментарию Стивена Харриса выше, процитированному здесь:
If you don't see STARTTLS in the telnet output then nothing you can do on postfix will get TLS working. You have a lower level dataflow problem.
Я использую Cisco 2851 с Cisco IOS v 15.1. Решением для меня было исправление фильтра проверки esmtp. Прочтите:Application Inspection and Control for SMTP . Например, он заменил команду EHLO 250-STARTTLSна XXX :250-XXXXXXXX.
show running-configв командной строке маршрутизатора появился список активных фильтров, включая esmtp:
ip inspect name APPWIZ http
ip inspect name APPWIZ https
ip inspect name APPWIZ tcp
ip inspect name APPWIZ udp
ip inspect name APPWIZ sip
ip inspect name APPWIZ pop3
ip inspect name APPWIZ imap
ip inspect name APPWIZ icmp
ip inspect name APPWIZ ftp
ip inspect name APPWIZ dns
ip inspect name APPWIZ esmtp
Немедленным решением для меня было отключить проверку esmtp (до тех пор, пока я не смогу настроить ее должным образом )вот так:
configure terminal
no ip inspect name APPWIZ esmtp
exit
write memory
Вам нужно будет заменить APPWIZна название вашей карты инспекционного класса -.
Ряд параметров загрузки ядра доступен для отключения или тонкой -настройки устранения уязвимостей оборудования:
- для Spectre v1 и v2:
nospectre_v1(x86, PowerPC ),nospectre_v2(x86, PowerPC, S/390, ARM64 ),spectre_v2_user=off(x86) - для SSB:
spec_store_bypass_disable=off(x86, PowerPC ),ssbd=force-off(ARM64) - для L1TF:
l1tf=off(x86) - для МДС:
mds=off(x86) - для ТАА:
tsx_async_abort=off - для многократных попаданий iTLB:
nx_huge_pages=off - KPTI можно отключить с помощью
nopti(x86, PowerPC )илиkpti=0(ARM64) - Асинхронное прерывание TSX:
tsx_async_abort=off(x86) - Огромные страницы KVM NX:
kvm.nx_huge_pages=off(x86)
Метапараметр -, mitigations, был введен в версии 5.2 и обратно -, перенесен на версии 5.1.2, 5.0.16 и 4.19.43 (и, возможно, другие ). Его можно использовать для управления всеми мерами по снижению риска на всех архитектурах следующим образом:
mitigations=offотключает все необязательные средства защиты ЦП;mitigations=auto(настройка по умолчанию )устранит все известные уязвимости ЦП, но оставьте SMT включенным (, если он уже включен );mitigations=auto,nosmtустранит все известные уязвимости ЦП и при необходимости отключит SMT.
Некоторые из них можно переключать во время выполнения; подробности см. в связанной документации.
С ядром 5.1.13 или новее:
В параметре загрузки можно использовать
mitigations=off
С ядром старше 5.1.13:
noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off
Добавьте либо mitigations=off, либо тот длинный -лайнер в ваш /etc/sysconfig/grubи повторно -сгенерируйте файл конфигурации grub с помощью
grub2-mkconfig
(ваша процедура распределения будет отличаться ).
Дистрибутивы производные от Debian/Ubuntu:
Отредактируйте файл /etc/default/grub, затем выполните команды
update-grub
, а затем
grub-install /dev/sdX
, где Xзаменяется соответствующим диском ОС, обычно a, как в/dev/sda
Правильные действия в Ubuntu :редактировать /etc/default/grubнайдите строку GRUB_CMDLINE_LINUX_DEFAULT:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash mitigations=off"
Добавить раздел mitigations=off(, показанный выше, но отсутствующий в других сообщениях )тогда
sudo update-grub
, затем
sudo-grub-install /dev/sdX