Jump to contentJump to page navigation: previous page [access key p]/next page [access key n]
openSUSE Leap ドキュメンテーション › セキュリティ強化ガイド › ローカルセキュリティ › Spectre/Meltdown チェッカー
コンテンツコンテンツ
セキュリティ強化ガイド
  1. 前書き
  2. 1 セキュリティと機密保持
  3. I 認証
    1. 2 PAM を利用した認証
    2. 3 NIS の使用
    3. 4 YaST を利用した認証クライアントの設定
    4. 5 389 Directory Server を利用した LDAP サービス
    5. 6 Kerberos を利用したネットワーク認証
    6. 7 Active Directory サポート
    7. 8 FreeRADIUS サーバの構築
  4. II ローカルセキュリティ
    1. 9 物理的なセキュリティ
    2. 10 ソフトウエア管理
    3. 11 ファイルの管理
    4. 12 パーティションやファイルの暗号化
    5. 13 cryptctl を利用したアプリケーション向けのストレージ暗号化
    6. 14 ユーザ管理
    7. 15 cronat の制限
    8. 16 Spectre/Meltdown チェッカー
    9. 17 YaST を利用したセキュリティの設定
    10. 18 Polkit 認可フレームワーク
    11. 19 Linux でのアクセス制御リスト
    12. 20 AIDE を利用した侵入検知
  5. III ネットワークセキュリティ
    1. 21 X Window System と X 認証
    2. 22 OpenSSH によるネットワーク操作の機密保持
    3. 23 マスカレードとファイアウオール
    4. 24 VPN サーバの設定
    5. 25 X Window System で動作する PKI マネージャ XCA による管理
    6. 26 sysctl 変数によるネットワークセキュリティの改善
  6. IV AppArmor による権限の制限
    1. 27 AppArmor の紹介
    2. 28 入門
    3. 29 プログラムに対する予防接種
    4. 30 プロファイルのコンポーネントと文法
    5. 31 AppArmor のプロファイルリポジトリ
    6. 32 YaST を利用したプロファイルの構築と管理
    7. 33 コマンドラインからのプロファイル構築
    8. 34 チェンジハット機能による Web アプリケーションのプロファイル作成
    9. 35 pam_apparmor によるユーザの制限
    10. 36 プロファイルを作成したアプリケーションの管理
    11. 37 サポート
    12. 38 AppArmor 用語集
  7. V SELinux
    1. 39 SELinux の設定
  8. VI Linux 監査フレームワーク
    1. 40 Understanding Linux audit
    2. 41 Linux 監査フレームワークの設定
    3. 42 監査ルールセットの紹介
    4. 43 その他の情報源
  9. A GNU ライセンス
ナビゲーション
openSUSE Leap ドキュメンテーション › セキュリティ強化ガイド › ローカルセキュリティ › Spectre/Meltdown チェッカー
トップへ
適用先 openSUSE Leap 15.6

16 Spectre/Meltdown チェッカー Edit source

概要

spectre-meltdown-checker は、直近の 20 年間に製造されたほぼ全ての CPU 内に存在する投機的実行機能に関する脆弱性が、お使いのシステムに存在しているかどうかをテストするためのスクリプトです。この脆弱性はハードウエアの欠陥に起因するものであり、攻撃者はこの脆弱性を悪用することで、システム内に存在する全てのデータを読み取ることができる可能性があります。クラウド型のコンピューティングシステムの場合、 1 台の物理ホスト内に複数の仮想マシンが動作する仕組みであることから、この脆弱性を悪用できてしまうと、全ての仮想マシン内のデータを読み取ることができる可能性があることになります。この脆弱性を根本から解決するには、 CPU の再設計と入れ替えが必要になってしまいますが、それができるまでの間の回避策として、これらの脆弱性を緩和するためのソフトウエア修正が提供されています。お使いの SUSE システムを最新の状態に維持しておくことで、これらの修正は全てインストールされることになります。

spectre-meltdown-checker は詳細なレポートを生成します。お使いのシステムに脆弱性が存在しないことを保証する仕組みではありませんが、緩和策が正しく適用され、潜在的な脆弱性が存在していないことを確認することができます。

16.1 spectre-meltdown-checker の使用
16.2 さらなる情報

16.1 spectre-meltdown-checker の使用 Edit source

スクリプトをインストールして、オプションを指定せずに root で実行します:

# zypper in spectre-meltdown-checker
# spectre-meltdown-checker.sh

すると、 図16.1「spectre-meltdown-checker の出力」 に示しているようなカラフルな出力が現れるはずです:

spectre-meltdown-checker.sh の出力 (抜粋)
図 16.1: spectre-meltdown-checker の出力

spectre-meltdown-checker.sh --help のように入力して実行すると、全てのオプションを表示します。また、色づけせずにテキストのみで出力したい場合、たとえばファイルに書き込みたいような場合は、下記のように実行します:

# spectre-meltdown-checker.sh --no-color| tee filename.txt

上記の例では動作中のシステムで実行してきました (これが既定の動作となります) 。この方法以外にも、 spectre-meltdown-checker スクリプトに対してカーネルや設定、 System.map をそれぞれ指定することで、オフラインで実行することもできます:

# cd /boot
# spectre-meltdown-checker.sh \
--no-color \
--kernel vmlinuz-6.4.0-150600.9-default \
--config config-6.4.0-150600.9-default \
--map System.map-6.4.0-150600.9-default| tee filename.txt

その他の便利なオプションは下記のとおりです:

--verbose, -v

冗長性を増します。 -v -v -v のように繰り返し指定すると、さらに詳しい出力を行うようになります。

--explain

より分かりやすい説明を出力します

--batch [short] [json] [nrpe] [prometheus]

スクリプトなど機械処理向けの出力形式を指定します

重要
重要: --disclaimer オプションについて

spectre-meltdown-checker.sh --disclaimer のように入力して実行すると、スクリプトの動作範囲などの重要な情報を表示します。

16.2 さらなる情報 Edit source

さらに詳しい情報については、それぞれ下記をお読みください:

第17章 YaST を利用したセキュリティの設定第15章 cronat の制限
このページを印刷

© 2024 SUSE