VMware Overview of ‘L1 Terminal Fault’ (L1TF) Speculative-Execution vulnerabilities in Intel processors: CVE-2018-3646, CVE-2018-3620, and CVE-2018-3615 (55636)困擾已久的問題終於可以處理了!
ESXI 主機 每次都有這告警關也不是不關也不是
好在終於有解
This host is potentially vulnerable to issues described in CVE-2018-3646, please refer to https://kb.vmware.com/s/article/55636 for details and VMware recommendations. KB 55636
ESXi 6.7 U2(13006603)或後續版本,才能支援新式的 SCAv2 工作負載調度選項 才能解決這告警
新增 SCAv2 調度選項有效改善執行效能
最新 VMware vSphere 6.7 U2 版本中,新增不同的「調度選項」(Scheduler Options),除了能夠保護 VM 虛擬主機免於遭受採用 Intel 處理器的 L1TF 漏洞攻擊之外,工作負載調度選項能夠針對不同的工作負載,在避免安全性攻擊的同時維持過往高運作效能的表現。
「主機安全性邊界」(Host Security Boundary)防護機制,ESXi 主機的工作負載調度選項為「hyperthreadingMitigation = FALSE」是啟用主機安全性邊界防護機制。
剩下就看圖吧
組態設定為
「hyperthreadingMitigation = TRUE」
「hyperthreadingMitigationIntraVM = FALSE」時,便是啟用 VM 虛擬主機安全性邊界防護機制
「hyperthreadingMitigation = TRUE」
「hyperthreadingMitigationIntraVM = TRUE」時,便會啟用執行程序安全性邊界防護機制。
簡單來說,採用執行程序安全性邊界防護機制後,可以為 VM 虛擬主機提供最高的安全性等級,但是必須犧牲 VM 虛擬主機大量的運作效能來換取最佳安全性。
工作負載調度機制和參數值 hyperthreadingMitigation hyperthreadingMitigationIntraVM
預設值(未進行防護) FALSE TRUE 或 FALSE
SCAv1 TRUE TRUE
SCAv2 TRUE FALSE
登入 vCenter Server 管理介面後,依序點選
「Datacenter > Cluster > ESXi Host > Configure > System > Advanced System Settings」項目,
組態設定
「VMkernel.Boot.hyperthreadingMitigation = true」
「VMkernel.Boot.hyperthreadingMitigationIntraVM = false」
重新啟動該台 ESXi 主機以便套用生效,採用新式的 SCAv2 工作負載調度選項。
參考文章:
留言列表
MIS 打雜筆記本 (5)
{{ article.title }}
