Сценарий Bash для копирования файлов с последующим перемещением в корзину (не -деструктивный)

Я немного покопался, и эта уязвимость в документации упоминается как:

L1TF = отказ клеммы L1

На самом деле я нашел документацию по ядру напрямую , цитата:

l1tf=   [X86] Control mitigation of the L1TF vulnerability on
        affected CPUs

        The kernel PTE inversion protection is unconditionally
        enabled and cannot be disabled.

            Provides all available mitigations for the
            L1TF vulnerability. Disables SMT and
            enables all mitigations in the
            hypervisors, i.e. unconditional L1D flush.

            SMT control and L1D flush control via the
            sysfs interface is still possible after
            boot.  Hypervisors will issue a warning
            when the first VM is started in a
            potentially insecure configuration,
            i.e. SMT enabled or L1D flush disabled.

            Same as 'full', but disables SMT and L1D
            flush runtime control. Implies the
            'nosmt=force' command line option.
            (i.e. sysfs control of SMT is disabled.)

            Leaves SMT enabled and enables the default
            hypervisor mitigation, i.e. conditional
            L1D flush.

            SMT control and L1D flush control via the
            sysfs interface is still possible after
            boot.  Hypervisors will issue a warning
            when the first VM is started in a
            potentially insecure configuration,
            i.e. SMT enabled or L1D flush disabled.


            Disables SMT and enables the default
            hypervisor mitigation.

            SMT control and L1D flush control via the
            sysfs interface is still possible after
            boot.  Hypervisors will issue a warning
            when the first VM is started in a
            potentially insecure configuration,
            i.e. SMT enabled or L1D flush disabled.

            Same as 'flush', but hypervisors will not
            warn when a VM is started in a potentially
            insecure configuration.

            Disables hypervisor mitigations and doesn't
            emit any warnings.
            It also drops the swap size and available
            RAM limit restriction on both hypervisor and
            bare metal.

        Default is 'flush'.

        For details see: Documentation/admin-guide/hw-vuln/l1tf.rst

Я попробовал некоторые из этих вариантов, в итоге выбрав full,force. Но это только мой личный выбор.

Как использовать

Если вы сейчас спрашиваете, как использовать (, что редактировать ), то ответ будет:

  1. Отредактируйте следующий файл в своем любимом текстовом редакторе:

  2. Добавьте одну из опций, например позвольте мне использовать l1tf=full,force, в эту строку:

    GRUB_CMDLINE_LINUX_DEFAULT="... l1tf=full,force"
  3. Обновите конфигурацию загрузчика с помощью:

    sudo update-grub
  4. Изменения вступают в силу после перезагрузки:

    reboot --reboot


Если вы решите продолжить тестирование этого решения, вы должны получить аналогичные результаты:

CVE-2018-3646 aka 'Foreshadow-NG (VMM), L1 terminal fault'
* Information from the /sys interface: Mitigation: PTE Inversion; VMX: cache flushes, SMT disabled
* This system is a host running a hypervisor:  YES  (paranoid mode)
* Mitigation 1 (KVM)
  * EPT is disabled:  NO 
* Mitigation 2
  * L1D flush is supported by kernel:  YES  (found flush_l1d in /proc/cpuinfo)
  * L1D flush enabled:  YES  (unconditional flushes)
  * Hardware-backed L1D flush supported:  YES  (performance impact of the mitigation will be greatly reduced)
  * Hyper-Threading (SMT) is enabled:  NO 
> STATUS:  NOT VULNERABLE  (L1D unconditional flushing and Hyper-Threading disabled are mitigating the vulnerability)

Изображение в формате UHD можно увеличить:


Стивен Китт заметки

Также стоит прочитать специальнуюдокументацию ядра L1TF -, в которой подробно описаны уязвимости и способы их устранения, а также объясняется, как включать и отключать средства устранения (, включая отключение SMT)во время выполнения. , без перезагрузки или изменения конфигурации системы.

17.04.2021, 06:14
1 ответ

Спасибо за полезные предложения, @berndbausch и @Freddy! Оказывается, проблема заключалась в одинарных кавычках в имени получателя. Я изменил скрипт, чтобы удалить одинарные кавычки, а также удалить ненужный цикл. Теперь он работает как с rsync, так и с cp.

read -p "Enter destination folder: " destination

dest="${destination%\'}" #remove the suffix ' (escaped with a backslash to prevent shell interpretation)
dest="${dest#\'}" #remove prefix ' (escaped with a backslash to prevent shell interpretation)

rsync -a -W "$@" $dest #or cp -a "$@" $dest
gio trash "$@"
28.04.2021, 22:52


Похожие вопросы