昨日が新年初出社でした。 昨日今日と仕事はしつつ、検証環境の脆弱性「Meltdown」「Spectre」の対応を行なっていました。
主に稼働している検証環境はざっと次の通りです。 以下、メモから起こしたため、文体が変わっています。
仮想化ホスト(Linux KVM)
- Debian 9
アップデートしたらGRUBなどいくつかのアップデートがあったが、なぜかLinux Kernelのアップデートがapt list -a linux-image-4.9.0-5-amd64とかで見つからなかった(その後apt search linux-image*で検索したら、linux-image-4.9.0-5-amd64が見つかった。謎である)。ググったらKernel didn't update to last versionを発見。同じ症状なので、apt install linux-image-4.9.0-5-amd64を実行して再起動して対応した。
VMのパフォーマンスが落ちる懸念があったが、この環境下のMAASサーバーはとりあえず性能劣化することなく稼働している。
MAASサーバー
今回の脆弱性はUbuntuのライブパッチでは対処できないらしいのでアップデートを実施することに。
1/10に対応するパッチが公開(Xenial、Trusty)されたので、通常通りsudo apt update&& sudo apt upgradeを実行した(実際はAnsibleのaptモジュールを使ってアップデートを実施)。終わったら再起動。特に問題は発生しなかった。
MAASイメージもアップデートをかけた。デプロイしてみたところ、本脆弱性が潰されているLinux Kernelでデプロイできることを確認した。JujuとMAASを使って、脆弱性を修正した状態でKubernetes環境を作れることを確認した。
別VLAN用DNS/DHCP/PXEサーバー
仮想化ホストと同様、Kernelの更新がされなかったが同じ対応方法で切り抜けた。再起動後はパフォーマンスや安定性など特に問題はなし。
とあるRedmine
MAASサーバーと同様の対応をした。再起動後はパフォーマンスや安定性など特に問題はなし。
とあるGitLab
MAASサーバーと同様の対応をした。再起動後はパフォーマンスや安定性など特に問題はなし。
少々時間はかかったものの、特に問題なく現在稼働している。しばらく様子をみたい。
