Intel CPU güvenlik boşluğu yaması nedeniyle kaybedilen performansı geri kazanmak için Sayfa Tablosu İzolasyonu nasıl devre dışı bırakılır?

Mevcut Intel CPU güvenlik deliği sorunu nedeniyle, sistem performansını yavaşlatan bir düzeltme eki var.

Ubuntu sistemime bu yamanın yüklenmeyeceğinden nasıl emin olabilirim?

Yama (aka "Sayfa tablosu yalıtımı") normal bir çekirdek güncellemesinin parçası olacaktır (sisteminizi güncellediğinizde alacağınız). Bununla birlikte, çekirdeğin güncel tutulması şiddetle tavsiye edilir, çünkü birçok başka güvenlik düzeltmesi de alır. Yani olur değil sadece düzeltme olmadan eski bir çekirdek kullanmanız önerilir.

Bununla birlikte, çekirdeği komut satırına ( nasıl yapılırsa ) ekleyerek pti=off( bu seçeneği ekleyerek, bu seçeneği ekleyerek çekirdek yaması) yamayı etkin bir şekilde devre dışı bırakabilirsiniz . Bunu yapmanın daha az güvenli bir sisteme yol açacağına dikkat edin.

PostgreSQL posta listesinde PTI etkin ve devre dışı bırakılmış daha fazla bilgi ve performans testi var - TLDR% 10 ile% 30 arasında bir performans etkisine sahip olduğu (ProstgreSQL için, yani - oyunlar gibi diğer şeyler muhtemelen daha az bir etki görecek) .

Bunun yalnızca AMD'nin etkilenmemiş ( reddit ) göründüğü için Intel işlemcileri etkileyeceğini ve bu nedenle AMD'de varsayılan olarak devre dışı bırakılacağını unutmayın.

Güncelleme: Soruna bir çift takma isim verildi: Meltdown ve Spectre . Cevabı yeni bilgilerle güncelledim.

Başlangıçta bir çekirdek yaması olacak. Daha yüksek bir sürüm olarak ortaya çıkacaktır. Kurulacak çünkü linux-image-generickurulacak. Bu paket bunun için. Böylece çıkarabilirsin linux-image-generic. Bu korkunç, var felaket düşünce, maruz kalmanıza edeceğiz nasties her türlü ama olabilir bunu. Orada olabilir aynı zamanda şu CPU mikro kod olmak linux-firmwarebir in-CPU düzeltme için. Bu gerçekten Intel'de.

Bunu çözmek için uyguladığınız yöntem ilgisizdir. Ne hatanın gerçek etkisini, ne de onu düzeltmenin performans maliyetini bilmediğiniz bir şeyi atlamak istiyorsunuz.

• Böcek iğrenç. Bildirilen CVE'ler çapraz işlem hafıza okumasıdır. Herhangi bir işlem, başka bir işlemin hafızasını okuyabilmek. Girdi, şifreler, her şey. Bunun muhtemelen kum havuzları üzerinde de etkileri vardır. Çok erken günler ve insanların hem etki hem de erişim açısından bunu daha ileri itmelerini bekliyorum.

• Büyük olasılıkla performans hit, endişelendiğiniz kadar büyük değildir. İnsanların etrafında attığı sayılar, teorik alt sistem performansına veya en kötü duruma odaklanır. Kötü önbelleğe alınmış bir veritabanı en çok etkilenecek olanıdır. Oyun oynamak ve günlük işler muhtemelen ölçülebilir bir şekilde değişmeyecek.

Şimdi bile asıl hatanın ne olduğunu görebiliyoruz, etkinin ne olduğunu söylemek için çok erken. RAM'e ücretsiz okuma erişimi kötü olsa da, dışarıda daha kötü şeyler var. Ayrıca düzeltmenin sizi ne kadar etkilediğini görmek için de test yaparım (yaptığınız şeylerle).

GRUB config'inizi bayraklarla yüklemeye veya henüz Kernel meta paketlerini kaldırmaya başlama.

Bunu tavsiye etmeme rağmen, PTI'yi devre dışı bırakmak mümkündür.

ile Etraftaki çekirdek komut satırı parametresi

Phoronix'e göre .

Bu, append yapmak için noptisonraki satıra dizesine bununla başlar GRUB_CMDLINE_LINUX_DEFAULTiçinde /etc/default/grubve daha sonra çalışan

sudo update-grub

ardından bir yeniden başlatma.

Performansla ilgili güvenlik özelliklerini devre dışı bırakmak için çekirdek önyükleme parametreleri hakkında daha fazla bilgi için bkz . Ubuntu Wiki'deki Spectre & Meltdown MitigationControls

Aşağıdakileri grub içindeki çekirdek argümanınızın sonuna ekleyin: -

spectre_v2 = kapalı nopti pti = kapalı

Çekirdek parametreleri aşağıda açıklanmaktadır: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls

En basit yol: çekirdek konfigürasyonunda işaretini kaldırın

-> Güvenlik seçenekleri

[] Kullanıcı modunda çekirdek eşlemesini kaldırın

sonra yeni çekirdeği derleyin