Intel CPU güvenlik boşluğu yaması nedeniyle kaybedilen performansı geri kazanmak için Sayfa Tablosu İzolasyonu nasıl devre dışı bırakılır?


43

Mevcut Intel CPU güvenlik deliği sorunu nedeniyle, sistem performansını yavaşlatan bir düzeltme eki var.

Ubuntu sistemime bu yamanın yüklenmeyeceğinden nasıl emin olabilirim?


49
Diğer çeşitli güvenlik mekanizmalarını devre dışı bırakarak sistem performansınızı daha da artırabilirsiniz. Hayır, bu bir öneri değil.
scai

11
Performans sizin için önemliyse, en son çekirdek sürüm adayını kendiniz oluşturmanızı ve iş yükünüzdeki performans kaybını test etmenizi öneriyorum. Ek yükün ihmal edilebilir veya tolere edilebilir olduğunu görebilirsiniz.
Jeffrey Bosboom

5
Bunun ne kadar berbat bir fikir olduğunu söyleyemem.
Alexander

13
Ben muhalif olacağım. Şahsen ben güvenlik özelliklerini etkisizleştirmeyi tavsiye etmem ama, pti'yi devre dışı bırakan bir performansa dikkat eden kullanıcılar için, bu özel güvenlik açıklığına ve hedef bilgisayarın / verinin değerine karşı bir saldırıdan yararlanmanın ne kadar zor olduğunu göz önünde bulundurarak makul bir seçenek olabilir. Asıl soru, bu seçeneği nasıl devre dışı bırakmam gerektiği değil.
Panter

2
Kabul ediyorum, PTI ihmal edilemez bir maliyeti olan bir güvenlik özelliğidir. Bu onlar için ve bu sorunun kapsamı dışında olup olmadığına karar vermek OP'ye bağlıdır.
Jake

Yanıtlar:


55

Yama (aka "Sayfa tablosu yalıtımı") normal bir çekirdek güncellemesinin parçası olacaktır (sisteminizi güncellediğinizde alacağınız). Bununla birlikte, çekirdeğin güncel tutulması şiddetle tavsiye edilir, çünkü birçok başka güvenlik düzeltmesi de alır. Yani olur değil sadece düzeltme olmadan eski bir çekirdek kullanmanız önerilir.

Bununla birlikte, çekirdeği komut satırına ( nasıl yapılırsa ) ekleyerek pti=off( bu seçeneği ekleyerek, bu seçeneği ekleyerek çekirdek yaması) yamayı etkin bir şekilde devre dışı bırakabilirsiniz . Bunu yapmanın daha az güvenli bir sisteme yol açacağına dikkat edin.

PostgreSQL posta listesinde PTI etkin ve devre dışı bırakılmış daha fazla bilgi ve performans testi var - TLDR% 10 ile% 30 arasında bir performans etkisine sahip olduğu (ProstgreSQL için, yani - oyunlar gibi diğer şeyler muhtemelen daha az bir etki görecek) .

Bunun yalnızca AMD'nin etkilenmemiş ( reddit ) göründüğü için Intel işlemcileri etkileyeceğini ve bu nedenle AMD'de varsayılan olarak devre dışı bırakılacağını unutmayın.


2
“... bu öngörülebilir şekilde AMD'de varsayılan olarak devre dışı bırakılacak.” Bu, Canonical tarafından sağlanan AMD CPU'lu makinelerde çalışan Ubuntu işletim sistemleri için ekstra bir çekirdek sürümü olacağı anlamına mı geliyor? :)
cl-netbox

16
Hayır, çekirdek bir AMD CPU'da çalıştığını (önyükleme sırasında) algılar ve varsa düzeltmeyi devre dışı bırakır. @ cl-netbox
JonasCz - Monica

1
Göre theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability onlar muhtemelen performanslı-etkileyen bu hafta güncelleştirmek çekirdek almak olacak böylece AMD çipleri, Spectre saldırıların en az bir çeşitliliği (şube hedef enjeksiyonu) etkilenir, onlar da uygun şekilde Meltdown'a tabi olmasalar bile.
Dave Sherohman

1
Görünüşe göre bu özellik x64 mimarisinde, ancak i386 / IA-32'de değil. Bu nedenle, yama 32bit linux'u da etkilemiyor (güvenlik / Kconfig, PAGE_TABLE_ISOLATION özelliğini etkinleştirmek için X86_64 gerektiriyor). Bu olsa başka bir soru getiriyor. Peki ya 32bit linux yüklü x64 makineler, bunlar etkilenebilir mi? Öyleyse, sadece 32bit komutları çalıştıran (eski atom tabanlı netbooklar gibi) bios ile sınırlı olan eski x64 makineler ne durumda? ördek oturuyorlar mı?
PiGrepper

2
Kesin olarak öğrenene kadar, bunu kullanmayı planladığım JavaScript tabanlı bir saldırı oldu.
Joshua

35

Güncelleme: Soruna bir çift takma isim verildi: Meltdown ve Spectre . Cevabı yeni bilgilerle güncelledim.

Başlangıçta bir çekirdek yaması olacak. Daha yüksek bir sürüm olarak ortaya çıkacaktır. Kurulacak çünkü linux-image-generickurulacak. Bu paket bunun için. Böylece çıkarabilirsin linux-image-generic. Bu korkunç, var felaket düşünce, maruz kalmanıza edeceğiz nasties her türlü ama olabilir bunu. Orada olabilir aynı zamanda şu CPU mikro kod olmak linux-firmwarebir in-CPU düzeltme için. Bu gerçekten Intel'de.

Bunu çözmek için uyguladığınız yöntem ilgisizdir. Ne hatanın gerçek etkisini, ne de onu düzeltmenin performans maliyetini bilmediğiniz bir şeyi atlamak istiyorsunuz.

  • Böcek iğrenç. Bildirilen CVE'ler çapraz işlem hafıza okumasıdır. Herhangi bir işlem, başka bir işlemin hafızasını okuyabilmek. Girdi, şifreler, her şey. Bunun muhtemelen kum havuzları üzerinde de etkileri vardır. Çok erken günler ve insanların hem etki hem de erişim açısından bunu daha ileri itmelerini bekliyorum.

  • Büyük olasılıkla performans hit, endişelendiğiniz kadar büyük değildir. İnsanların etrafında attığı sayılar, teorik alt sistem performansına veya en kötü duruma odaklanır. Kötü önbelleğe alınmış bir veritabanı en çok etkilenecek olanıdır. Oyun oynamak ve günlük işler muhtemelen ölçülebilir bir şekilde değişmeyecek.

Şimdi bile asıl hatanın ne olduğunu görebiliyoruz, etkinin ne olduğunu söylemek için çok erken. RAM'e ücretsiz okuma erişimi kötü olsa da, dışarıda daha kötü şeyler var. Ayrıca düzeltmenin sizi ne kadar etkilediğini görmek için de test yaparım (yaptığınız şeylerle).

GRUB config'inizi bayraklarla yüklemeye veya henüz Kernel meta paketlerini kaldırmaya başlama.


7
Yapmanız gereken tek şey pti=offyamayı devre dışı bırakmak için çekirdek komut satırına (GRUB'da) eklemektir .
JonasCz - Monica

3
@JonasCz bu yorum - doğruysa, bilmiyorum - sesler ayrı bir cevaba değecektir, özellikle de referansla destekleyebilirsiniz.
Byte Komutanı

IMHO nopti daha iyi bir seçimdir
Panter

3
@Oli Bu tavsiyeye katılıyorum ve kendime başka bir yerde verdim. Bununla birlikte, soru, istenirse bu yeni güvenlik özelliğinin nasıl devre dışı bırakılacağı, IMO ise nopti bunu yapma seçeneğidir.
Panter

1
Evet, sanal makineler kullanırken bazı sistem faaliyetlerimi% 99 azalttı. Dosyaları sunucudan sanal makineye kopyalamak 2-3 saniye sürdü, artık bir dakikadan fazla sürüyor.
rboy

14

Bunu tavsiye etmeme rağmen, PTI'yi devre dışı bırakmak mümkündür.

ile Etraftaki çekirdek komut satırı parametresi

Phoronix'e göre .

Bu, append yapmak için noptisonraki satıra dizesine bununla başlar GRUB_CMDLINE_LINUX_DEFAULTiçinde /etc/default/grubve daha sonra çalışan

sudo update-grub

ardından bir yeniden başlatma.

Performansla ilgili güvenlik özelliklerini devre dışı bırakmak için çekirdek önyükleme parametreleri hakkında daha fazla bilgi için bkz . Ubuntu Wiki'deki Spectre & Meltdown MitigationControls


1
Çekirdek boot params nopti ve pti = off arasındaki fark nedir ?
niutech

@niutech fark yok, buraya
bakabileceğin



3

En basit yol: çekirdek konfigürasyonunda işaretini kaldırın

-> Güvenlik seçenekleri

[] Kullanıcı modunda çekirdek eşlemesini kaldırın

sonra yeni çekirdeği derleyin


1
Ubuntu'ya Sormaya Hoş Geldiniz! Mevcut haliyle cevabınız, olabileceği kadar iyi değil. İncelemek Could İyi Cevap yaz nasıl ve sorular ve cevaplar için Stil rehberi . - Şu kaynaktan
J. Starnes

2
Ne yazık ki J. Starnes haklı. Aşırı son çare olarak artık kendi çekirdeğinizi derlemiyorsunuz.
Joshua

Bu, çekirdek seçeneklerinde oldukça önemsiz bir değişikliktir, ancak IMO noptimuhtemelen en iyi ve daha kolay bir seçimdir.
Panter
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.