আমি এই ইস্যুতে সবচেয়ে পরিষ্কার পোস্টটি হলাম ম্যাথিউ গ্যারেটের (মন্তব্য সহ)।
ম্যাথু এখন স্থানীয়ভাবে আপনার সিস্টেমটি পরীক্ষা করার জন্য একটি সরঞ্জাম প্রকাশ করেছে : এটি তৈরি করুন, এটি দিয়ে চালান run
sudo ./mei-amt-check
এবং এটি এএমটি সক্ষম এবং বিধানযুক্ত কিনা তা রিপোর্ট করবে এবং যদি তা হয় তবে ফার্মওয়্যার সংস্করণগুলি (নীচে দেখুন)। README আরো বিস্তারিত জানার হয়েছে।
সম্ভাব্য দুর্বল সিস্টেমগুলির জন্য আপনার নেটওয়ার্ক স্ক্যান করতে, 623, 624 এবং 16992 থেকে 16993 পোর্টগুলি স্ক্যান করুন (ইন্টেলের নিজস্ব প্রশমন দস্তাবেজে বর্ণিত হিসাবে ); উদাহরণ স্বরূপ
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
192.168.1 / 24 নেটওয়ার্কটি স্ক্যান করবে এবং সমস্ত হোস্টের প্রতিক্রিয়া জানায় যা প্রতিক্রিয়া জানায়। 623 পোর্টের সাথে সংযোগ স্থাপনে সক্ষম হওয়া একটি মিথ্যা পজিটিভ হতে পারে (অন্যান্য আইপিএমআই সিস্টেমগুলি সেই পোর্টটি ব্যবহার করে) তবে 16992 থেকে 16995 পর্যন্ত কোনও উন্মুক্ত পোর্ট সক্ষম এএমটির একটি খুব ভাল সূচক (কমপক্ষে যদি তারা যথাযথভাবে প্রতিক্রিয়া জানায়: এএমটির সাথে, এর অর্থ) 16992 এবং 16993-তে একটি HTTP প্রতিক্রিয়া, টিএলএস সহ পরবর্তী)।
আপনি যদি 16992 বা 16993 বন্দরগুলিতে প্রতিক্রিয়া দেখেন, এগুলির সাথে সংযুক্ত হয়ে এবং /এইচটিটিপি ব্যবহারের জন্য অনুরোধ করলে Serverএএমটি সক্ষম হওয়া সিস্টেমে "ইন্টেল (আর) অ্যাক্টিভাল ম্যানেজমেন্ট টেকনোলজি" ধারণকারী একটি লাইনের প্রতিক্রিয়া ফিরে আসবে ; একই লাইনটিতে ব্যবহৃত এএমটি ফার্মওয়্যারটির সংস্করণও থাকবে, যা এরপরে এটি সংবেদনশীল কিনা তা নির্ধারণের জন্য ইন্টেলের পরামর্শে দেওয়া তালিকার সাথে তুলনা করা যেতে পারে ।
উপরের দিক থেকে স্বয়ংক্রিয়ভাবে কোনও স্ক্রিপ্টের লিঙ্কের জন্য সারবারাসসেকের উত্তর দেখুন ।
"সঠিকভাবে" সমস্যাটি সমাধান করার দুটি উপায় রয়েছে:
- ফার্মওয়্যার আপগ্রেড করুন, একবার আপনার সিস্টেমের প্রস্তুতকারক একটি আপডেট সরবরাহ করে (যদি কখনও হয়);
- আপনার সিস্টেমে একটি অ-এএমটি-সক্ষম নেটওয়ার্ক ইন্টারফেস ব্যবহার করে বা ইউএসবি অ্যাডাপ্টার ব্যবহার করে (অনেকগুলি এএমটি ওয়ার্কস্টেশন, যেমন আই 210 নেটওয়ার্ক পোর্ট সহ সি 226 জিয়ন ই 3 সিস্টেমগুলির মধ্যে কেবল একটি এএমটি- থাকে এএমটি সরবরাহকারী নেটওয়ার্ক পোর্ট ব্যবহার এড়াতে হবে) সক্ষম নেটওয়ার্ক ইন্টারফেস - বাকিগুলি নিরাপদ; নোট করুন যে এএমটি কমপক্ষে উইন্ডোজে ওয়াই-ফাইয়ের মাধ্যমে কাজ করতে পারে, তাই বিল্ট-ইন ওয়াই-ফাই ব্যবহার করাও আপস হতে পারে)।
যদি এই বিকল্পগুলির কোনওটি উপলব্ধ না হয় তবে আপনি প্রশমন অঞ্চলটিতে রয়েছেন। যদি আপনার এএমটি-সক্ষম সিস্টেমটি কখনও এএমটির জন্য বিধান করা না হয়, তবে আপনি যুক্তিসঙ্গতভাবে নিরাপদ; সেক্ষেত্রে এএমটি সক্ষম করা কেবলমাত্র স্থানীয়ভাবে করা যেতে পারে এবং যতদূর আমি বলতে পারি আপনার সিস্টেমের ফার্মওয়্যার বা উইন্ডোজ সফ্টওয়্যার ব্যবহার করা দরকার। যদি এএমটি সক্ষম করা থাকে তবে আপনি এটি নিষ্ক্রিয় করতে ফার্মওয়্যারটি পুনরায় বুট করতে এবং ব্যবহার করতে পারেন ( CtrlPবুটের সময় যখন এএমটি বার্তা প্রদর্শিত হয় তখন টিপুন )।
মূলত, সুবিধাগুলি দুর্বলতা বেশ ন্যক্কারজনক হলেও এটি বেশিরভাগ ইনটেল সিস্টেমগুলি আসলে প্রভাবিত হয় না বলে মনে হয়। লিনাক্স বা অন্য ইউনিক্স-মতো অপারেটিং সিস্টেম চালিত আপনার নিজস্ব সিস্টেমগুলির জন্য, এসকেলেশন সম্ভবত প্রথম স্থানে এটিএমটি সক্ষম করতে সিস্টেমে শারীরিক অ্যাক্সেসের প্রয়োজন। (উইন্ডোজ অন্য গল্প।) একাধিক নেটওয়ার্ক ইন্টারফেস সহ সিস্টেমে উপর, যেমন সেই বিষয়টিই তুলে ধরেছিলেন রুই এফ শর্তাবলীবুঝতে , আপনি AMT সক্ষম ইন্টারফেসগুলি একই ভাবে আচরণ হিসাবে আপনি কোনো প্রশাসনিক ইন্টারফেস এই IPMI সক্ষম, অথবা হোস্ট ইন্টারফেস আচরণ চাই (উচিত কোনও ভিএম হাইপারভাইজারের জন্য) এবং এটিকে প্রশাসনিক নেটওয়ার্কে (শারীরিক বা ভিএলএএন) আলাদা করুন। আপনি করতে পারবেন না নিজেকে রক্ষা করার জন্য একটি হোস্ট উপর নির্ভর: iptablesইত্যাদি এখানে অকার্যকর হয়, কারণ AMT প্যাকেট দেখেন সামনে অপারেটিং সিস্টেম আছে (এবং নিজেই AMT প্যাকেট রাখে)।
ভিএমগুলি বিষয়গুলিকে জটিল করতে পারে তবে কেবল এই অর্থে যে তারা এএমটিকে বিভ্রান্ত করতে পারে এবং এমএমটি সক্ষম থাকলে এটি বিভ্রান্তিকর স্ক্যানিং ফলাফল আনতে পারে। amt-howto(7)জেন সিস্টেমগুলির উদাহরণ দেয় যেখানে এএমটি কোনও ডমইউকে ডিএইচসিপি-র দেওয়া ঠিকানা ব্যবহার করে, যদি কোনও হয়, যার অর্থ একটি স্ক্যান ডমইউতে এমটিটি সক্রিয় দেখায়, ডম0 না ...