V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
HarveyLiu
V2EX  ›  分享发现

关于近期大量主机,出现“关机”或“死机”谨慎安装锐速和 BBR

  •  
  •   HarveyLiu · 2019-06-22 11:53:29 +08:00 · 6595 次点击
    这是一个创建于 1981 天前的主题,其中的信息可能已经有所发展或是发生改变。

    锐速通常降低内核到 3.x (受影响)

    BBR Plus 通常降低到 4.x (受影响)

    其它 BBR 魔改版本通常降低到 4.X (受影响)

    腾讯 TCPA 通常降低到 4.X (受影响)

    所以下次你的鸡儿,突然死了,别怪运营商不稳定,你自己检查一下你的内核版本吧,亲。

    关于 Linux TCP "SACK PANIC" 远程拒绝服务漏洞

    漏洞编号: CVE-2019-11477 高危 CVE-2019-11478 中危 CVE-2019-11479 中危

    漏洞威胁: 攻击者可利用该漏洞远程发送特殊构造的攻击包,使目标服务器系统崩溃或无法提供服务。

    请更新至最新的 5.x 目前只有这个内核修复了以下三个攻击漏洞,攻击通常是整个 IP 段批量脚本进行的,不要存在侥幸心理,我提供 CentOS7 的更新方法

    兼顾原版 BBR。

    RooT 用户登入后:

    0:grub2-editenv list (先看一下你默认启动的内核版本号)

    1:yum clean all

    2:yum makecache

    3:yum update kernel -y

    4:apt update

    5:rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

    6:rpm -Uvh https://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm

    7:yum --enablerepo=elrepo-kernel install kernel-ml -y

    8:grub2-set-default 0 (设置刚安装好的新内核,启动顺序是第一位,通常是 0 )

    9:reboot

    10:yum -y remove kernel kernel-tools (重启后,删除旧的内核)

    11:echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf

    12:sysctl -p

    13:sysctl -n net.ipv4.tcp_congestion_control (看有进程是 BBR 就可以了)

    14:lsmod | grep bbr (同上)

    16 条回复    2019-11-05 15:32:37 +08:00
    mikeguan
        1
    mikeguan  
       2019-06-22 12:05:35 +08:00 via Android
    记忆中不错的话新闻是 5.x 也有影响吧,直接让重新编译最新内核吧(动手能力强),或者等待官方修补(安全,稳定)
    unknowncheater
        2
    unknowncheater  
       2019-06-22 12:06:25 +08:00
    apt 都出来了?打错了吧
    HarveyLiu
        3
    HarveyLiu  
    OP
       2019-06-22 12:21:23 +08:00
    @unknowncheater #2 哈哈,发帖的时候,在用 Ubuntu18.04 ,原谅我的懒惰,修正:yum update
    HarveyLiu
        4
    HarveyLiu  
    OP
       2019-06-22 12:23:20 +08:00
    @mikeguan #1 5.1.12-1.el7.elrepo.x86_64 目前不受影响,没有明确的公布列表说明这个内核也受影响。
    choury
        5
    choury  
       2019-06-22 12:23:39 +08:00 via Android
    这个漏洞受不受影响和 3.x 还是 4.x 都没关系,只和 3.x.y 最后的这个 y 有关
    mikeguan
        6
    mikeguan  
       2019-06-22 12:48:28 +08:00 via Android
    @HarveyLiu #4 5.1.12 版本在漏洞爆出后出的啊😂 现在很多发行版补丁应该都已经放出,直接升级内核就行
    unknowncheater
        7
    unknowncheater  
       2019-06-22 13:05:29 +08:00
    更新内核删了我一堆软件,幸好截了图,又装回来了
    KasuganoSoras
        8
    KasuganoSoras  
       2019-06-22 14:20:59 +08:00
    不需要更新内核的临时解决方案:
    echo 0 > /proc/sys/net/ipv4/tcp_sack
    sysctl -w net.ipv4.tcp_sack=0
    (在 UOvZ 官方频道看到的)
    RobertYang
        9
    RobertYang  
       2019-06-22 14:28:58 +08:00 via Android
    腾讯云给的安全内核版本
    CentOS 6:2.6.32-754.15.3
    CentOS 7:3.10.0-957.21.3
    Ubuntu 18.04 LTS:4.15.0-52.56
    Ubuntu 16.04 LTS:4.4.0-151.178
    notgood
        10
    notgood  
       2019-06-22 14:30:11 +08:00 via Android
    @unknowncheater 更新内核为什么会删一堆软件?我更新后软件全都在啊
    Love4Taylor
        11
    Love4Taylor  
       2019-06-22 14:42:47 +08:00
    Ubuntu 前两个修了也推了更新, CVE-2019-11479 还没修. 另外不是按大版本算的...
    unknowncheater
        12
    unknowncheater  
       2019-06-22 14:54:55 +08:00
    @notgood 有些软件依赖于旧内核,卸载旧内核就被顺便卸载了。新内核安装后重新安装软件。例如 Gcc
    FullBridgeRect
        13
    FullBridgeRect  
       2019-06-22 16:41:03 +08:00 via Android
    @unknowncheater gcc 不在这个里面
    unknowncheater
        14
    unknowncheater  
       2019-06-22 17:56:39 +08:00
    @FullBridgeRect 我原来 kernel 是 5.0,新装最新,把我 Gcc 卸了我还有图
    yjd
        15
    yjd  
       2019-06-24 09:54:00 +08:00
    今天就中了。还以为被 q 了。
    czthebest
        16
    czthebest  
       2019-11-05 15:32:37 +08:00
    也遇到用 bbr plus 后莫名卡顿的问题,先升级内核看看能否解决,感谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2673 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:21 · PVG 13:21 · LAX 21:21 · JFK 00:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.