关于近期大量主机,出现“关机”或“死机”谨慎安装锐速和 BBR

2019-06-22 11:53:29 +08:00
 HarveyLiu

锐速通常降低内核到 3.x (受影响)

BBR Plus 通常降低到 4.x (受影响)

其它 BBR 魔改版本通常降低到 4.X (受影响)

腾讯 TCPA 通常降低到 4.X (受影响)

所以下次你的鸡儿,突然死了,别怪运营商不稳定,你自己检查一下你的内核版本吧,亲。

关于 Linux TCP "SACK PANIC" 远程拒绝服务漏洞

漏洞编号: CVE-2019-11477 高危 CVE-2019-11478 中危 CVE-2019-11479 中危

漏洞威胁: 攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。

请更新至最新的 5.x 目前只有这个内核修复了以下三个攻击漏洞,攻击通常是整个 IP 段批量脚本进行的,不要存在侥幸心理,我提供 CentOS7 的更新方法

兼顾原版 BBR。

RooT 用户登入后:

0:grub2-editenv list (先看一下你默认启动的内核版本号)

1:yum clean all

2:yum makecache

3:yum update kernel -y

4:apt update

5:rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

6:rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm

7:yum --enablerepo=elrepo-kernel install kernel-ml -y

8:grub2-set-default 0 (设置刚安装好的新内核,启动顺序是第一位,通常是 0 )

9:reboot

10:yum -y remove kernel kernel-tools (重启后,删除旧的内核)

11:echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf

12:sysctl -p

13:sysctl -n net.ipv4.tcp_congestion_control (看有进程是 BBR 就可以了)

14:lsmod | grep bbr (同上)

6623 次点击
所在节点    分享发现
16 条回复
mikeguan
2019-06-22 12:05:35 +08:00
记忆中不错的话新闻是 5.x 也有影响吧,直接让重新编译最新内核吧(动手能力强),或者等待官方修补(安全,稳定)
unknowncheater
2019-06-22 12:06:25 +08:00
apt 都出来了?打错了吧
HarveyLiu
2019-06-22 12:21:23 +08:00
@unknowncheater #2 哈哈,发帖的时候,在用 Ubuntu18.04 ,原谅我的懒惰,修正:yum update
HarveyLiu
2019-06-22 12:23:20 +08:00
@mikeguan #1 5.1.12-1.el7.elrepo.x86_64 目前不受影响,没有明确的公布列表说明这个内核也受影响。
choury
2019-06-22 12:23:39 +08:00
这个漏洞受不受影响和 3.x 还是 4.x 都没关系,只和 3.x.y 最后的这个 y 有关
mikeguan
2019-06-22 12:48:28 +08:00
@HarveyLiu #4 5.1.12 版本在漏洞爆出后出的啊😂 现在很多发行版补丁应该都已经放出,直接升级内核就行
unknowncheater
2019-06-22 13:05:29 +08:00
更新内核删了我一堆软件,幸好截了图,又装回来了
KasuganoSoras
2019-06-22 14:20:59 +08:00
不需要更新内核的临时解决方案:
echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0
(在 UOvZ 官方频道看到的)
RobertYang
2019-06-22 14:28:58 +08:00
腾讯云给的安全内核版本
CentOS 6:2.6.32-754.15.3
CentOS 7:3.10.0-957.21.3
Ubuntu 18.04 LTS:4.15.0-52.56
Ubuntu 16.04 LTS:4.4.0-151.178
notgood
2019-06-22 14:30:11 +08:00
@unknowncheater 更新内核为什么会删一堆软件?我更新后软件全都在啊
Love4Taylor
2019-06-22 14:42:47 +08:00
Ubuntu 前两个修了也推了更新, CVE-2019-11479 还没修. 另外不是按大版本算的...
unknowncheater
2019-06-22 14:54:55 +08:00
@notgood 有些软件依赖于旧内核,卸载旧内核就被顺便卸载了。新内核安装后重新安装软件。例如 Gcc
FullBridgeRect
2019-06-22 16:41:03 +08:00
@unknowncheater gcc 不在这个里面
unknowncheater
2019-06-22 17:56:39 +08:00
@FullBridgeRect 我原来 kernel 是 5.0,新装最新,把我 Gcc 卸了我还有图
yjd
2019-06-24 09:54:00 +08:00
今天就中了。还以为被 q 了。
czthebest
2019-11-05 15:32:37 +08:00
也遇到用 bbr plus 后莫名卡顿的问题,先升级内核看看能否解决,感谢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/576407

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX