RHEL/CentOS 6 的 2.6.32-696.18.7 核心修正不相容於 Xen PV 模式

原本 DR 以為面對 Meltdown 和 Spectre 這種史詩級的 CPU 安全漏洞,一般的系統管理人員只需要跑個系統更新就好了。尤其是 Red Hat 對其企業級 Linux 發行版所提供的軟體更新,應該都不會有破壞系統運作的問題發生。結果這次 RHEL/CentOS 6 所釋出的安全性修正(RHSA-2018:0008)並不相容於 Xen 的 PV 模式(雖然 HVM 模式則不受影響),而這就會造成問題了。

 

由於本站是架設在基於 Xen 虛擬化技術的 EC2 主機上,並且是使用 PV 模式。所以一旦執行系統更新,將 Linux 核心升級到 2.6.32-696.18.7 後就無法啟動了……

 

顯然 DR 不是唯一一個中招的:

 

也因此,DR 首次需要在 EC2 上做修復動作。操作概念其實就類似於實體主機的狀況,只是切換到虛擬環境上進行。首先就是將出問題的主機停機,然後卸除(detach)其虛擬磁碟。接著上 AWS Marketplace 隨意新增一個新的主機,例如選擇 Amazon Linux,並配上可免費試用的 Micro 執行個體。

 

新增完主機後,將原有的虛擬磁碟掛接(attach)上去,然後遠端登入該主機,掛載磁碟,修改裡頭的 GRUB 設定,使其用舊的核心版本啟動。最後將磁碟還給原有的主機,就可以順利啟動了。

 

所以,在後續修正方案出現以前,本站只能繼續使用存在風險的核心版本。雖不理想,但直接破壞系統可用性的狀況也是不能接受的。

 

01/27/2018 更新:

更新的核心版本 2.6.32-696.20.1 已修正此問題。

 

分類: