CSPH Devops Report W46 2023

Geschichten der Woche:

Bookworm, backports, und die Jagd nach dem verschollenen virtiofs

oder auch “apt-pinning und die berühmte fehlende leere Zeile”

Ein Problem das uns diese Woche einen Ausfall von stream.conesphere.cloud, also unserer Peertube Open Source Streaming Plattform, beschert hat steht in Zukunft möglicherweise einigen Usern von virtiofs [1] auf Debian ins Haus:

“Unable to find a satisfying virtiofsd”

Mit dem nächsten Debian stable release namens “Trixie” wird virtiofsd aus qemu-system-common ausgegliedert und zum eigenständigen Paket. [2] Der Wechsel erfolgt zwischen den Versionen 1:7.2+dfsg-7+deb12u2 und 1:8.1.2+ds-1d.

Nach einer aufregenden Fehlersuche ( Sprich: mit ausfallsinduziertem Herzrasen ) stellt sich heraus, dass wir beim pinnen unserer apt-repositories [3] leider ein paar leere Zeilen unterschlagen haben. Dadurch wurde nur der unterste Pinning-Eintrag in unserer “Debian.stable.sources” Ansible Rolle [4] verwertet und unbeabsichtigt Pakete aus dem “Debian bookworm backports” Repository installiert.

Dadurch durften wir und unsere Nutzer*innen kurzfristig die Probleme der Zukunft schon heute genießen! (Adaptierter Slogan von Newgrounds.com ):

Die Debian backport repositories enthalten zur Ergänzung der für ihre Stabilität und Zuverlässigkeit berühmten Debian “stable” Releases neure Versionen von Software, die für den jeweilig als “stable” unterstützten Kernel re-kompiliert wurden.

Der Fehler ist mit dem folgenden change behoben und es kann wieder gestreamt werden.
Wir entschuldigen uns bei unseren Usern und Rollen-Nutzer*innen für alle dadurch entstandene Unnannehmlichkeiten!

https://git.conesphere.cloud/conesphere/ansible/roles/conesphere.debian.stable.sources/-/compare/9d709316099795856fe8e5966a88daad1cd37c1c…main?from_project_id=108

“Mal wieder” CPU-CVEs –> microcode update reminder

Speziellen Dank an Max für den Anstoß zu diesem Post!

Spätestens seit Spectre und Meltdown [5] sind Verwundbarkeiten von CPUs ein auch in der Öffentlichkeit angekommenes Thema. Kurz gesagt handelt es sich hierbei um Sicherheitslücken die ein Ausbrechen aus diversen Sandboxing- und Sicherheitsmechanismen für unlautere Zwecke ermöglichen.

Zwei solche Lücken betreffen diese Woche unter anderem AMD Epyc Prozessoren der ersten Generation ( CVE-2023-20592, siehe unten verlinkten Computerbase Artikel [6] ) sowie auch eine noch nicht spezifizierte Zahl an Intel Prozessoren mit ( CVE-2023-23583 [7] ).

Was bedeuten solche Nachrichten für Endnutzer*innen?
Nicht viel neues: Häufig und regelmäßig updaten *und* Geräte rebooten. Nur im Zuge eines Reboots können nach der Installation neue Betriebssystem-Kernels geladen werden. Dies spielt speziell im Hostingbereich, wo reboots von “tragender” Infrastruktur tendentiell bis zum nächsten Wartungsfenster vermieden werden eine wichtige Rolle.

Bei Linux-Betriebssystemen können umsichtige User sichergehen, dass die für ihre Distribution und Prozessorarchitektur spezifischen microcode-Pakete installiert sind. Diese liefern Upgrades für die Prozessor-Firmware und werden üblicherweise automatisch mit dem Betriebssystem installiert.
In speziellen Fällen ( wie z.B. nach einem Board/Prozessorwechsel oder Root-SSD/HDD Umzug ) ist es jedoch möglich, dass die installierten Pakete nicht mehr mit der verbauten Hardware übereinstimmen.

Eine Anleitung zum Überprüfen sowie Paketnamen verschiedener Distributionen findet sich im folgenden Link. Wie immer bitte Warnungen auf der Seite beachten und bei fehlender Erfahrung besser Unterstützung einholen bevor etwas kaputt geht.
https://www.cyberciti.biz/faq/install-update-intel-microcode-firmware-linux/

Und ja, aufmerksame Leser*innen gehen richtig in der Vermutung, dass uns das oben genannte virtiofs-Problem im Zuge von microcode Update reboots überrascht hat.
Immer noch besser als gehackt zu werden 😉

Quellen und Links

[1]
Virtiofs: Hochperformante Lösung um Host-Verzeichnisse mit virtuellen Maschinen zu teilen. Nutzt im Gegensatz zu alternativen wie 9pfs keien Netzwerkstack und spart damit verbundene Leistungsverluste.
Projektseite: https://virtio-fs.gitlab.io/
Beispiel Mac: Bis zu 98% Performancegewinn für z.B. Docker on Mac.
https://www.docker.com/blog/speed-boost-achievement-unlocked-on-docker-desktop-4-6-for-mac/

[2]
https://packages.debian.org/sid/virtiofsd

[3]
Apt Pinning: Methode zur Priorisierung verschiedener Paketquellen auf Debianoiden Distributionen
https://wiki.debian.org/AptConfiguration
https://www.howtoforge.com/a-short-introduction-to-apt-pinning-p2

[4] https://git.conesphere.cloud/conesphere/ansible/roles/conesphere.debian.stable.sources/-/blob/main/tasks/main.yml

[5]
https://meltdownattack.com/

[6]
CVE-2023-20592
https://nvd.nist.gov/vuln/detail/CVE-2023-20592
https://www.computerbase.de/2023-11/cachewarp-neue-sicherheitsluecke-mit-heilmittel-in-cpus-von-amd/

[7]
CVE-2023-23583
https://nvd.nist.gov/vuln/detail/CVE-2023-23583