Как проверить, включен ли AMT

Должен ли я активировать или отключить технологию Intel Active Management Technology (AMT) и Intel Standard Manageability (ISM) в Linux с помощью командной строки для уязвимости CVE-2017-5689?

Уязвимость CVE-2017-5689 определяется как:

 

Непривилегированный сетевой злоумышленник может получить системные привилегии для оснащенных Intel управляющих SKU: Intel Active Management Technology (AMT) и Intel Standard Manageability (ISM). Непривилегированный локальный злоумышленник может обеспечить функции управления, получающие непривилегированные сетевые или локальные системные привилегии в управляемых продуктах Intel: управляемая технология Intel (AMT), технология Intel Standard Manageability (ISM) и технология Intel Small Business (SBT).

Вы можете узнать, включен ли AMT и подготовлен ли он под Linux, используя следующие методы.

Метод № 1: средство проверки mei-amt-check

Используйте инструмент mei-amt-check. Это простой инструмент, который сообщает вам, включен ли AMT и представлен ли он в системах Linux. Требуется загрузить драйвер mei_me.

Установка

Клонирование репо командой git:

Чтобы собрать его, выполните:

Использование
Просто введите следующую команду:

Пример результата:

Вышеуказанный результат показывает, что AMT включен, и он не уязвим для CVE-2017-5689.

ЕСЛИ ЗАПУСТИТЬ В СИСТЕМЕ LINUX БЕЗ AMT, ВЫВОД БУДЕТ ВЫГЛЯДЕТЬ ТАК:

ЕСЛИ AMT ВКЛЮЧЕН И ПОДГОТОВЛЕН, ВЫВОД БУДЕТ ВЫГЛЯДЕТЬ ТАК:

Если AMT включен и подготовлен, а версия AMT находится между 6.0 и 11.2, и вы не обновили прошивку, вы уязвимы для CVE-2017-5689. Отключите AMT в своей системной прошивке.

Метод № 2: Используйте nmap

Скачайте скрипт, используя команду wget или curl:

Для проверки 192.168.2.5 выполните команду nmap следующим образом:

Пример результата:

Убедитесь, что вы обновили BIOS, чтобы исправить проблему.

Настройка безопасности Linux серверов, [email protected]