컴퓨터에 Chrome OS Flex를 설치했습니다.2008년 말 맥북. 안타깝게도 아직 Linux 모드를 활성화할 수 없습니다. reddit에 있는 이 스레드(1그리고2)은 이 문제를 해결하려면 Chrome OS Flex를 개발자 모드로 변경할 것을 제안합니다.
그래서 cros_debug
해당 플래그를 GRUB
(efi 및 syslinux) 구성 파일에 추가하고 kvm-intel.vmentry_l1d_flush=always
모든 grub 구성 파일 항목에 이미 존재하는지 확인했습니다.
터미널을 시작하려고 하면 여전히 다음 메시지가 나타납니다.
crosh> vmc start termina --untrusted
Error: operation `vm_start` failed: bad VM status: `VM_STATUS_FAILURE`: Host vulnerable against untrusted VM
[ERROR:src/main.rs:184] ERROR: command failed
다음으로 내 노트북에서 l1tf 취약점을 찾으려고 시도했는데 다음과 같은 내용이 나타났습니다.
crosh> shell
chronos@localhost / $ cat /sys/devices/system/cpu/vulnerabilities/l1tf
Mitigation: PTE Inversion; VMX: EPT disabled
편집: 지금도 다음과 같이 추가했습니다 kvm-intel.ept=0
.
chronos@localhost / $ cat /proc/cmdline
BOOT_IMAGE=/syslinux/vmlinuz.A init=/sbin/init boot=local rootwait ro noresume noswap loglevel=7 noinitrd console= kvm-intel.vmentry_l1d_flush=always kvm-intel.ept=0 dm_verity.error_behavior=3 dm_verity.max_bios=-1 dm_verity.dev_wait=1 i915.modeset=1 cros_efi cros_debug root=/dev/dm-0 "dm=1 vroot none ro 1,0 4710400 verity payload=PARTUUID=E09BB354-34E7-5343-B0A2-BB06778C6B78 hashtree=PARTUUID=E09BB354-34E7-5343-B0A2-BB06778C6B78 hashstart=4710400 alg=sha256 root_hexdigest=<...> salt=<...>"
이러한 완화 조치가 실제로 무엇을 의미하는지 잘 모르겠지만, GRUB
crostini를 시작할 때 발생하는 오류를 극복하기 위해 추가할 수 있는 다른 플래그가 있는지 궁금합니다.
답변1
crosh의 셸에서 다음 명령을 사용하여 커널 취약점을 확인할 수 있습니다.
chromeOS Flex
예를 들어, 105.0.5195.4 dev 에는 두 가지 취약점이 여전히 존재합니다 iMac8,1
.
$ cat /sys/class/dmi/id/product_name
iMac8,1
$ grep -i Vulnerable /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable: Clear CPU buffers attempted, no microcode; SMT disabled
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable
Linux는 모든 취약점이 완화되거나 영향을 받지 않는 경우에만 사용해야 한다고 생각합니다.
두 취약점 모두 iMac8,1
수정하려면 Intel 마이크로코드가 필요할 수 있지만 Intel은 이 CPU에 대한 마이크로코드를 업데이트하지 않은 것으로 보입니다.
$ sudo dmesg | grep microcode
[ 0.000000] microcode: microcode updated early to revision 0x60f, date = 2010-09-29
[ 0.217648] MDS: Vulnerable: Clear CPU buffers attempted, no microcode
[ 0.802913] microcode: sig=0x10676, pf=0x80, revision=0x60f
[ 0.802975] microcode: Microcode Update Driver: v2.2.