ytooyamaのブログ

サーバ構築とか、仕事で発見したこととか、趣味のこととかを書いています。

脆弱性「Meltdown」「Spectre」の対応など

昨日が新年初出社でした。 昨日今日と仕事はしつつ、検証環境の脆弱性「Meltdown」「Spectre」の対応を行なっていました。

主に稼働している検証環境はざっと次の通りです。 以下、メモから起こしたため、文体が変わっています。

仮想化ホスト(Linux KVM)

アップデートしたらGRUBなどいくつかのアップデートがあったが、なぜかLinux Kernelのアップデートがapt list -a linux-image-4.9.0-5-amd64とかで見つからなかった(その後apt search linux-image*で検索したら、linux-image-4.9.0-5-amd64が見つかった。謎である)。ググったらKernel didn't update to last versionを発見。同じ症状なので、apt install linux-image-4.9.0-5-amd64を実行して再起動して対応した。

VMのパフォーマンスが落ちる懸念があったが、この環境下のMAASサーバーはとりあえず性能劣化することなく稼働している。

MAASサーバー

今回の脆弱性Ubuntuのライブパッチでは対処できないらしいのでアップデートを実施することに。

insights.ubuntu.com

1/10に対応するパッチが公開(XenialTrusty)されたので、通常通りsudo apt update&& sudo apt upgradeを実行した(実際はAnsibleのaptモジュールを使ってアップデートを実施)。終わったら再起動。特に問題は発生しなかった。

MAASイメージもアップデートをかけた。デプロイしてみたところ、本脆弱性が潰されているLinux Kernelでデプロイできることを確認した。JujuとMAASを使って、脆弱性を修正した状態でKubernetes環境を作れることを確認した。

別VLAN用DNS/DHCP/PXEサーバー

仮想化ホストと同様、Kernelの更新がされなかったが同じ対応方法で切り抜けた。再起動後はパフォーマンスや安定性など特に問題はなし。

とあるRedmine

MAASサーバーと同様の対応をした。再起動後はパフォーマンスや安定性など特に問題はなし。

とあるGitLab

MAASサーバーと同様の対応をした。再起動後はパフォーマンスや安定性など特に問題はなし。

少々時間はかかったものの、特に問題なく現在稼働している。しばらく様子をみたい。