단독서버로

 

달랑 저혼자 사용하는 리눅스 서버 운영자입니다.

 

 

제가 개발한 프로그램이랑 xe 

 

이렇게 두개 정도의 프로그램이이 돌아갑니다.

 

 

 

멜트다운 버그에 대해서 읽어 봤는데...

 

확신이 없어서 질문 드립니다.

 

 

저 같은 경우는 멜트다운 버그에 크게 영향을 받지 않는것 아닌가요?

 

다른 사용자가 전혀 없고 누가 제 서버에 뭘 올릴수 있는것도 아니고..

 

올려봐야 문서 첨부파일 정도...

 

.... 메모리를 훔쳐 보는 거랑 상관없는거 아닌가요?

 

 

고수님들의 조언 부탁 드립니다.

  • profile
    한마디로 cpu 에 있는값을 읽어들인다는 얘기에요,로그인 하게 된다면 로그인정보도 당연히 cpu에 들어가겠죠
    그값을 탈취한다는 얘기에요
  • profile ?

    그 내용은 이해 했습니다. 제가 묻는건....

    제 서버에는 저 이외에 ID가진 사람도 없구요.

    제가 만든 프로그램은 서버에 어떤 파일을 올릴수 있지도 않게 되어 있구요.(apache+php+mysql로 구동중)

    다만 xe에서는 첨부파일 기능이 있으니깐.. 그래도 문서파일만 가능한 상태구요..

    이 경우에도 멜트 다운 버그를 이용하여 정보를 탈취 할수 있느냐는 이야기 입니다.

     

    CPU 버그를 이용해서 정보를 보는것도

     

    제 서버에서 정보 탈취 프로그램이 작동해야 하는데....(순전히 제 생각)

     

    제 서버는 위와같은 상황이라서... 그게 가능할까..?

     

    그걸 물어보는 거였습니다.

  • profile
    탈취 할 수도 있겠지만 중요한 정보만 사용하는 서버(돈이되는)가 우선순위 일테니 개인사용자까지 올려면.... 아니 안올수도 있겠죠....^^

    너무 걱정 하지 않으셔도 될듯 하네요. 피해 발생하면 그때 방법을 찾는게 나아 보입니다.
    현재로써는 커널과 몇가지 업데이트 밖에 못하니까요....ㅠㅠ
  • profile ?

    네 저도 기본적으로는 그렇게 알고 있습니다. 조언 감사합니다.

     

    업데이트도... 서버 I/O 퍼포먼스를 반타작 낸다는 말이 있어서..

     

    페치를 해도 걱정이네요..

  • profile

    이론적으로는 님의 서버에서 님이 허락하지 않은 코드가 실행되지 않는다면 멜트다운에 영향을 받지 않습니다.

     

    현실적으로는 XE 코어, 서드파티 자료, 아파치나 PHP 언어 자체에도 다양한 보안취약점이 있을 수 있기 때문에 님이 허락하지 않은 코드가 실행되지 않는다는 보장이 없습니다. 보안과 관련된 이슈는 어느 한 가지가 막아주니 괜찮다고 생각해서는 안됩니다. 지금 막아주고 있는 것이 뚫리더라도 다른 데서 이중 삼중으로 막을 수 있어야 안전하지요.

     

    센토스라면 yum update 한번 돌려주시고, 우분투는 며칠 안에 패치가 나오면 apt-get update && apt-get upgrade 한번 해주세요. 어려운 일도 아닌데 굳이 고민할 필요 없어 보입니다. 위에서 언급한 것처럼 아파치나 PHP에서도 수시로 보안취약점이 발견되기 때문에 어차피 자주 써줘야 하는 명령입니다.

  • profile ?

    기진곰님 말씀 처럼 그렇게 될꺼라는 생각을 가지고 있었는데 확신이 안들어서 고수님들 의견을 여쭈어 봤습니다.
    기진곰님 답변을 보니깐 70% 정도는 안심이 되네요

    제 서버에서 실행코드가 돌지만  않으면 된다는 말... 많이 많이 위안이 되고.. 콕 찍어서 답변해 주셔서 감사합니다.
    조언 감사합니다.

  • profile
    이번 CPU결함은 '매우 심각한 보안 결함'으로 분류된건 입니다. 자바스크립트로도 공격할 수 있을정도여서 브라우저들도 이미 대응 업데이트를 발표 했습니다. 네트워크에 연결된 PC라면 위험한 상태라고 인식 하셔야 합니다.

    서버에서 웹브라우저를 사용하지 않고 확인된 프로그램만 실행한다면 괜찮을수 있겠지만 설치하신 아파치, php, xe에 보안구멍이 있을시 좋은아빠되기님의 서버가 숙주가 될수도 있으니까요

    지속적으로 보안패치 하셔서 최소한의 대비는 하셔야 합니다.
  • profile ?
    일단 자바 스크립트는 제 서버에서 돌아 가는게 아니라서... 크게 걱정은 안합니다만...
    심각성을 예를 들어서 설명해주신것 같은데... 약깐 겁 먹었습니다. ㅎㅎㅎ

    보안 취약점이라는것이 yum 한방으로 해결되면 참 좋은데..이번건은 하드웨어 패치 이전에는 임시방편이라는 이야기가 많아서.. 많이 걱정 되네요...
    조언 감사합니다.
  • ? profile

    하드웨어 자체가 잘못 설계된 것이니 신제품이 나오기 전에는 근본적으로 해결하기 어렵겠지요. 게다가 명령을 최대한 빨리 처리하려다가 발생한 문제이므로, 취약점을 봉쇄하려면 명령을 처리하기 전에 반드시 보안체크를 해야 할 테니 신제품이 나오더라도 기존 제품보다 느릴 가능성이 있습니다. 당장 급한대로 클럭수를 높이거나 코어수를 늘려서 만회하려고 할지도... (라이젠 대응을 위해 8세대에서 코어수를 늘린 것처럼...)

    아무튼 지금 yum update 하시면 리눅스 커널도 보안패치가 포함된 버전으로 업데이트되고, microcode-ctl이라는 패키지도 함께 업데이트가 됩니다. 이게 CPU 하드웨어 패치입니다. kernel과 microcode-ctl을 업데이트한 후 재부팅하면 CPU의 비순차적 명령어 처리 기능 중 speculative execution (예측 실행, 추론 실행, 투기적 실행 등으로 다양하게 번역하더군요) 부분이 비활성화된다고 하는 것 같네요.

  • profile ?

    말씀하신것 처럼 예측실행 부분을 단순히 비활성화 하는 수준의 패치라면 패치로 인해서 퍼포먼스 떨어진것을 원상복구할수 있는 방법이 없다는 뜻이기도 한것 같네요.

    제가 조만간 서버 바꿀려고 했었는데..... 행운인지... 불운인지...

    새로운 CPU가 설계되어서 나오기 전에는 서버를 그냥 패치로 버티거나 말씀 하신것 처럼 스팩으로 밀어 붙이는 수 말고는 딱히 없는것 같은데..

    새로운 CPU는 기존보다 더 느릴수도 있다라는 말씀에 저 또한 심히 동감이 갑니다. 딱히 해결책이 없다면 기능을 뺀 신제품에 클럭좀 높인걸로 새 모델을 내놓을 수도 있으니깐요..

    서버 바꿀때만 아니었어도 이리 고민하진 않았을텐데..

    세세한 조언 감사합니다.