인텔 칩 보안 문제에 대한 최고의 Linux 개발자: '그들은 사라지지 않을 것입니다.'

  • Oct 18, 2023

안정적인 Linux 커널 관리자인 Greg Kroah-Hartman은 앞으로 수년 동안 Intel 칩 보안 문제를 보게 될 것이라고 말합니다.

리눅스

  • 소비자와 개발자를 위한 최고의 Linux 노트북
  • 노후된 컴퓨터를 보호하고 싶으신가요? 다음 5가지 Linux 배포판을 사용해 보세요
  • 초보자를 위한 최고의 배포판
  • Chromebook에서 Linux를 활성화하는 방법(및 활성화해야 하는 이유)

안정적인 Linux 커널 관리자인 Greg Kroah-Hartman이 그의 서문을 작성할 수도 있었습니다. 오픈 소스 서밋 유럽 기조연설, MDS, 폴아웃, 좀비랜드, 리눅스 등 윈스턴 처칠의 말을 빌리면: 인텔 CPU의 보안 문제를 해결하기 위해 피땀과 눈물밖에 드릴 수 있는 게 없습니다.

또는 최근 중국 개발자가 이러한 문제에 대해 그에게 이렇게 말했습니다. "이것은 슬픈 이야기입니다." 슬픈 점은 동일한 Intel CPU 추측 실행 문제로 인해 멜트다운과 스펙터 보안 문제는 여전히 건재하며 더 많은 문제를 야기하고 있습니다.

Intel이 추측 실행을 설계하는 방식의 문제점은 CPU가 수행할 다음 작업을 예상하면 실제로 작업 속도가 빨라지지만 그 과정에서 데이터도 노출된다는 것입니다. 자체 서버에서는 충분히 나쁘지만 클라우드 컴퓨팅 환경에서 가상 머신(VM) 사이의 장벽을 무너뜨리면 보안상 악몽이 됩니다.

Kroah-Hartman은 "이러한 문제는 오랫동안 우리와 함께 있을 것이며 사라지지 않을 것입니다. 그것들은 모두 CPU 버그이고 어떤 면에서는 모두 같은 문제입니다." 그러나 각각은 나름대로 해결해야 합니다. "MDS, RDDL, 폴아웃, 좀비랜드: 그것들은 모두 동일한 기본 문제의 변형입니다."

그리고 그것들은 모두 보안에 잠재적으로 치명적입니다."리들 그리고 좀비로드예를 들어 애플리케이션, 가상 머신, 심지어 보안 영역 전반에서 데이터를 훔칠 수 있습니다. 마지막은 정말 웃기거든요. [Intel 소프트웨어 가드 확장(SGX)]는 Intel 선박 내부에서 안전해야 하는 것입니다." [하지만 밝혀진 바에 따르면] 정말 다공성입니다. 이 일을 바로 알 수 있습니다."



나타나는 각 문제를 해결하려면 Linux 커널과 CPU의 BIOS 및 마이크로코드를 모두 패치해야 합니다. 이것은 Linux 문제가 아닙니다. 모든 운영 체제는 동일한 문제에 직면합니다.

오픈BSD, 보안을 최우선으로 생각하는 BSD Unix인 Kroah-Hartman은 현재 보안을 가장 먼저 생각해낸 사람이라고 자유롭게 인정합니다. 이러한 종류의 보안 허점에 대한 최선의 대답은 Intel의 동시 멀티스레딩(SMT)을 끄고 성능을 처리하는 것입니다. 때리다. Linux는 이 방법을 채택했습니다.

그러나 그것만으로는 충분하지 않습니다. 하이퍼스레딩을 활용하는 새로운 방법이 나타날 때마다 운영 체제를 보호해야 합니다. Linux의 경우 이는 다음을 의미합니다. CPU 버퍼 플러시 컨텍스트 전환이 있을 때마다(예: CPU가 하나의 VM 실행을 중지하고 다른 VM을 시작할 때)

아마도 문제가 무엇인지 짐작할 수 있을 것입니다. 각 버퍼 플러시에는 많은 시간이 걸리며 실행 중인 VM, 컨테이너 등이 많을수록 더 많은 시간을 잃게 됩니다.

이러한 지연은 얼마나 심각한가요? 직업에 따라 다릅니다. Kroah-Hartman은 이메일을 작성하고 응답하는 데 하루를 보낸다고 말했습니다. 해당 활동으로 인해 성능 저하가 2%만 발생합니다. 전혀 나쁘지 않습니다. 그는 또한 항상 Linux 커널을 구축하고 있습니다. 이는 훨씬 더 고통스러운 20% 성능 저하를 가져옵니다. 그것은 당신에게 얼마나 나쁜 것입니까? 알 수 있는 유일한 방법은 작업 부하를 벤치마킹하는 것입니다.

물론 그것은 당신에게 달려 있지만 Kroah-Hartman이 말했듯이 "이것의 나쁜 부분은 이제 성능과 보안 중 하나를 선택해야 한다는 것입니다. 그리고 그것은 좋은 선택이 아닙니다." 또한 그는 개발자가 많은 군중에게 클라우드 제공업체가 귀하를 위해 어떤 선택을 했는지 상기시켰습니다.

하지만 기다려! 나쁜 소식이 계속 들려오네요. Intel 관련 보안 업데이트가 나올 때마다 Linux 커널을 업데이트하고 마이크로코드를 패치해야 합니다. 안전할 수 있는 유일한 방법은 최신 버전을 실행하는 것입니다. 정식, 데비안, 빨간 모자, 또는 수세 배포판 또는 최신 장기 지원 Linux 커널. Kroah-Hartman은 "지원되는 Linux 배포 커널이나 안정적인/장기 커널을 사용하지 않는다면 시스템이 안전하지 않은 것입니다."라고 덧붙였습니다.

따라서 현재 세대의 Intel 프로세서가 골동품 가게에 출시될 때까지 운영 체제와 하드웨어를 지속적으로 업데이트할 수 있습니다. 보안을 속도보다 우선시하면 성능 저하 문제가 발생하게 됩니다. 재미있다, 재미있다, 재미있다!

관련 기사:

  • Intel CPU를 대상으로 한 MDS 'Zombieload' 공격: 패치 상태는 어떻습니까?
  • 리눅스 보안 허점: 아무것도 아닌 것에 대해 많은 sudo
  • 리눅스에 커널 '잠금' 기능 추가