Cập nhật Ubuntu server để bịt lỗ hổng bảo mật Meltdown, Spectre

Submitted by superthin on 25/01/2018 - 08:01:57
Meltdown and spectre icon

Gần đây nếu bạn là một sysadmin, chắc chắn một trăm phần trăm bạn biết đến Meltdown, Spectre. Nếu bạn lại nói bạn không quan tâm hoặc không biết, không nghe, không thấy,... Thin cho rằng bạn không phải là sysadmin thực sự. Thin chỉ là một sysadmin rất nghiệp dư nhưng vấn đề bảo mật được Thin quan tâm, web hosting của mình được Thin phòng thủ nghiêm ngặt.

Meltdown, Spectre là hai lỗ hổng bảo mật rất nghiêm trọng

Vì sao chúng nghiêm trọng? Bởi vì chúng là lỗi thiết kế chip CPU của hãng Intel và một số chip của hãng ARM. Chip của hai hãng này chiếm đến thị phần rất lớn, cho nên, nếu bạn có một máy tính, nhất là server, bạn sẽ phải thực hiện việc sử dụng bản vá để bịt lỗ hổng bảo mật.

Cũng xin nói thêm, theo Thin tìm hiểu qua nhiều bài viết, hiểu rằng các bản vá chỉ là việc "đẽo chân cho vừa giày" bởi vì đây là lỗi của phần cứng trong kiến trúc con chip chứ không phải là lỗi ở hệ điều hành hay phần mềm ứng dụng. Việc thu hồi và đổi chip khác cho khách hàng (theo cái kiểu như các hãng xe ô-tô thu hồi xe mỗi khi gặp lỗi gây mất an toàn hoặc vi phạm tiêu chuẩn môi trường) là việc Intel, ARM không thể thực hiện được, bản vá dùng phần mềm hay firmware hiện là giải pháp chữa cháy và cũng là cách duy nhất lúc này.

Các nhà cung cấp web hosting Việt Nam vẫn còn ngủ quên?

Khi truy cập vào các trang web của những nhà cung cấp web hosting Việt Nam, Thin đố bạn tìm thấy chỗ nào bàn về Meltdown, Spectre. Vậy là những ai thuê server hosting của họ hoặc tự mình thực hiện việc cập nhật bản vá hoặc cứ nằm đó... chờ chết.

Nếu bạn đang sử dụng một trong các nhà cung cấp hosting Việt Nam, bạn thử hỏi bộ phận hỗ trợ kỹ thuật/ chăm sóc khách hàng hay đưa câu hỏi lên phần blog, KB của họ xem họ trả lời như thế nào? Theo sự hồ đồ của Thin, bạn sẽ tức ói máu và muốn cắt hợp đồng với họ càng sớm càng tốt mà thôi. Nhưng, hượm đã, bạn còn hợp đồng rất nhiều tháng/ năm, thôi thì Thin khuyên bạn đi... năn nỉ họ vậy, hoặc bạn buộc phải tự thực hiện việc cập nhật bản vá nếu bạn thuê nguyên VPS hoặc dedicated server.

Nhà cung cấp hosting các nước thì sao?

Từng sử dụng qua một số dịch vụ web hosting, mail hosting nước ngoài, Thin cảm thấy họ làm ăn rất chuyên nghiệp. Khi kiểm tra email mỗi ngày, Thin đều nhận được thông tin từ các nhà cung cấp này về Meltdown, Spectre dù là nhà cung cấp đang sử dụng hay hết sử dụng nhưng email của Thin vẫn còn trong mailing list của họ. Họ mô tả lại tình trạng, dẫn liên kết đến trang blog của họ, trang hỗ trợ kỹ thuật/ chăm sóc khách hàng để khách hàng biết nên làm gì.

Một điều rất quan trọng là họ có lộ trình rất rõ ràng việc cập nhật cho các server để những khách hàng ít am hiểu về quản trị server có thể biết được mình sẽ bị nguy hiểm ở mức nào, cần làm gì nếu các server của họ là vận hành những thứ rất quan trọng. Còn những khách hàng có kiến thức, kỹ năng quản trị server tốt sẽ tự thực hiện ngay cấp kỳ bản vá và nhận được sự hỗ trợ rất tốt khi quá trình thực hiện có sự trục trặc.

Thin đã kịp thời cập nhật bản vá ngay khi Canonical cập nhật cho Ubuntu

Có thể nói là Ubuntu là một trong những distro gặp nguy hiểm cao nhất với Meltdown, Spectre bởi vì việc công bố lỗ hổng là có sự cọc cạch sao đó dẫn đến hãng Canonical (hãng phát hành và đỡ đầu Ubuntu) trở tay không kịp. Nhưng nhà cung cấp hosting của Thin có tham khảo những gì áp dụng với Debian để đưa ra những liên kết để khách hàng có thể tham khảo, nắm tình hình và/ hoặc tự xử lý nếu có kỹ năng thay vì đợi họ thực hiện vì với cả trang trại server sẽ mất kha khá thời gian.

Cho đến ngày 04/01/2018 Canonical cũng có động thái cập nhật thông tin và hướng dẫn cách xử lý. Họ dành một trang cho vấn đề này https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown , Thin cứ theo đó mà thực hiện.

Việc cập nhật bản vá nghe vậy chứ không khó như bạn hình dung đâu, Thin chỉ đánh có hai câu lệnh:

sudo apt-get update
sudo apt-get upgrade linux-image-4.14 

là xem như tạm yên tâm với các hacker tập sự.

Lưu ý: Ubuntu đang đề cập là phiên bản 16.04.