Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12
Intel Management Engine (Intel ME)  — автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года.
Intel ME состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питанию), эта подсистема продолжает работать даже когда компьютер отключен. Intel заявляет, что ME необходима для обеспечения максимальной производительности. Точный принцип работы по большей части недокументирован, а исходный код обфусцирован с помощью кода Хаффмана, таблица для которого хранится непосредственно в аппаратуре, поэтому сама прошивка не содержит информации для своего раскодирования. В Intel ME было найдено несколько уязвимостей.

Отключение Intel ME в ОС

Для отключения модулей ядра ОС, работающих с Intel ME, необходимо удалить эти модули из ядра, и запретить их загрузку.

Удаление модулей можно сделать командами:

rmmod mei_wdt
rmmod mei_me
rmmod mei

Запретить загрузку модулей можно с помощью механизма "чёрного списка" модулей, создав в каталоге /etc/modprobe.d/ файл с именем, например , /etc/modprobe.d/mei.conf, и записать в него следующие строчки с названиями модулей:

blacklist mei_wdt
blacklist mei_me
blacklist mei

Проверка наличия Intel ME

Для проверки наличия и характеристик модуля Intel ME можно собрать и использовать находящуюся в свободном доступе программу intelmetool: https://github.com/zamaudio/intelmetool

Для справки возможный результат проверки при наличии модуля Intel ME:

Bad news, you have a `Q67 Express Chipset LPC Controller` so you have ME hardware on board and it is very difficult to remove, continuing...
RCBA at 0xfed1c000
MEI not hidden on PCI, checking if visible
MEI found: [8086:1c3a] 6 Series/C200 Series Chipset Family MEI Controller #1

ME Status   : 0x1e000245
ME Status 2 : 0x60000006

ME: FW Partition Table      : OK
ME: Bringup Loader Failure  : NO
ME: Firmware Init Complete  : YES
ME: Manufacturing Mode      : NO
ME: Boot Options Present    : NO
ME: Update In Progress      : NO
ME: Current Working State   : Normal
ME: Current Operation State : M0 with UMA
ME: Current Operation Mode  : Normal
ME: Error Code              : No Error
ME: Progress Phase          : Host Communication
ME: Power Management Event  : Clean Moff->Mx wake
ME: Progress Phase State    : Host communication established

PCI READ [bc] : 0x000000bc
ME: Extend SHA-256: 193f2d686de7ecee80a98a140b2084bd084b33b06e05640f39f5c0d62d36bb69

ME seems okay on this board
WRITE    [00] : CB: 0x80040007
WRITE    [00] : CB: 0x000002ff
ME: timeout waiting for data: expected 8, available 6
ME: GET FW VERSION message failed
WRITE    [00] : CB: 0x80080007
WRITE    [00] : CB: 0x00000203
WRITE    [00] : CB: 0x00000000
READ     [08] : CB: 0x800d0007
READ     [08] : CB: 0x00008203
READ     [08] : CB: 0x00000000
READ     [08] : CB: 0xde5c4704
READ     [08] : CB: 0x0007000d
ME Capability: Full Network manageability                 : ON
ME Capability: Regular Network manageability              : ON
ME Capability: Manageability                              : ON
ME Capability: Small business technology                  : OFF
ME Capability: Level III manageability                    : OFF
ME Capability: IntelR Anti-Theft (AT)                     : OFF
ME Capability: IntelR Capability Licensing Service (CLS)  : ON
ME Capability: IntelR Power Sharing Technology (MPC)      : ON
ME Capability: ICC Over Clocking                          : ON
ME Capability: Protected Audio Video Path (PAVP)          : ON
ME Capability: IPV6                                       : ON
ME Capability: KVM Remote Control (KVM)                   : ON
ME Capability: Outbreak Containment Heuristic (OCH)       : ON
ME Capability: Virtual LAN (VLAN)                         : ON
ME Capability: TLS                                        : OFF
ME Capability: Wireless LAN (WLAN)                        : ON
exiting





  • No labels