首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
Coding
V2EX  ›  分享发现

关于近期大量主机,出现“关机”或“死机”谨慎安装锐速和 BBR

  •  
  •   HarveyLiu · 176 天前 · 3762 次点击
    这是一个创建于 176 天前的主题,其中的信息可能已经有所发展或是发生改变。

    锐速通常降低内核到 3.x (受影响)

    BBR Plus 通常降低到 4.x (受影响)

    其它 BBR 魔改版本通常降低到 4.X (受影响)

    腾讯 TCPA 通常降低到 4.X (受影响)

    所以下次你的鸡儿,突然死了,别怪运营商不稳定,你自己检查一下你的内核版本吧,亲。

    关于 Linux TCP "SACK PANIC" 远程拒绝服务漏洞

    漏洞编号: CVE-2019-11477 高危 CVE-2019-11478 中危 CVE-2019-11479 中危

    漏洞威胁: 攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。

    请更新至最新的 5.x 目前只有这个内核修复了以下三个攻击漏洞,攻击通常是整个 IP 段批量脚本进行的,不要存在侥幸心理,我提供 CentOS7 的更新方法

    兼顾原版 BBR。

    RooT 用户登入后:

    0:grub2-editenv list (先看一下你默认启动的内核版本号)

    1:yum clean all

    2:yum makecache

    3:yum update kernel -y

    4:apt update

    5:rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

    6:rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm

    7:yum --enablerepo=elrepo-kernel install kernel-ml -y

    8:grub2-set-default 0 (设置刚安装好的新内核,启动顺序是第一位,通常是 0 )

    9:reboot

    10:yum -y remove kernel kernel-tools (重启后,删除旧的内核)

    11:echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf

    12:sysctl -p

    13:sysctl -n net.ipv4.tcp_congestion_control (看有进程是 BBR 就可以了)

    14:lsmod | grep bbr (同上)

    16 回复  |  直到 2019-11-05 15:32:37 +08:00
        1
    mikeguan   176 天前 via Android
    记忆中不错的话新闻是 5.x 也有影响吧,直接让重新编译最新内核吧(动手能力强),或者等待官方修补(安全,稳定)
        2
    unknowncheater   176 天前
    apt 都出来了?打错了吧
        3
    HarveyLiu   176 天前
    @unknowncheater #2 哈哈,发帖的时候,在用 Ubuntu18.04 ,原谅我的懒惰,修正:yum update
        4
    HarveyLiu   176 天前
    @mikeguan #1 5.1.12-1.el7.elrepo.x86_64 目前不受影响,没有明确的公布列表说明这个内核也受影响。
        5
    choury   176 天前 via Android
    这个漏洞受不受影响和 3.x 还是 4.x 都没关系,只和 3.x.y 最后的这个 y 有关
        6
    mikeguan   176 天前 via Android
    @HarveyLiu #4 5.1.12 版本在漏洞爆出后出的啊😂 现在很多发行版补丁应该都已经放出,直接升级内核就行
        7
    unknowncheater   176 天前
    更新内核删了我一堆软件,幸好截了图,又装回来了
        8
    KasuganoSoras   176 天前
    不需要更新内核的临时解决方案:
    echo 0 > /proc/sys/net/ipv4/tcp_sack
    sysctl -w net.ipv4.tcp_sack=0
    (在 UOvZ 官方频道看到的)
        9
    RobertYang   175 天前 via Android
    腾讯云给的安全内核版本
    CentOS 6:2.6.32-754.15.3
    CentOS 7:3.10.0-957.21.3
    Ubuntu 18.04 LTS:4.15.0-52.56
    Ubuntu 16.04 LTS:4.4.0-151.178
        10
    notgood   175 天前 via Android
    @unknowncheater 更新内核为什么会删一堆软件?我更新后软件全都在啊
        11
    Love4Taylor   175 天前
    Ubuntu 前两个修了也推了更新, CVE-2019-11479 还没修. 另外不是按大版本算的...
        12
    unknowncheater   175 天前
    @notgood 有些软件依赖于旧内核,卸载旧内核就被顺便卸载了。新内核安装后重新安装软件。例如 Gcc
        13
    FullBridgeRect   175 天前 via Android
    @unknowncheater gcc 不在这个里面
        14
    unknowncheater   175 天前
    @FullBridgeRect 我原来 kernel 是 5.0,新装最新,把我 Gcc 卸了我还有图
        15
    yjd   174 天前
    今天就中了。还以为被 q 了。
        16
    czthebest   39 天前
    也遇到用 bbr plus 后莫名卡顿的问题,先升级内核看看能否解决,感谢
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2249 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 29ms · UTC 06:24 · PVG 14:24 · LAX 22:24 · JFK 01:24
    ♥ Do have faith in what you're doing.