Aufgrund der aktuellen Sicherheitslücke in Bezug auf die Intel-CPU wird ein Patch erwartet, der die Systemleistung beeinträchtigt.
Wie kann ich sicherstellen, dass dieser Patch nicht auf meinem Ubuntu-System installiert wird?
Aufgrund der aktuellen Sicherheitslücke in Bezug auf die Intel-CPU wird ein Patch erwartet, der die Systemleistung beeinträchtigt.
Wie kann ich sicherstellen, dass dieser Patch nicht auf meinem Ubuntu-System installiert wird?
Antworten:
Der Patch (auch "Page Table Isolation" genannt) ist Teil eines normalen Kernel-Updates (das Sie erhalten, wenn Sie Ihr System aktualisieren). Es wird jedoch dringend empfohlen, den Kernel auf dem neuesten Stand zu halten, da er auch viele andere Sicherheitskorrekturen enthält. Daher würde ich nicht empfehlen, nur einen veralteten Kernel ohne das Update zu verwenden.
Sie können den Patch jedoch effektiv deaktivieren, indem Sie ihn zu Ihrer Kernel-Befehlszeile ( Howto ) hinzufügen pti=off
( Kernel-Patch mit dieser Option und weiteren Informationen ). Beachten Sie, dass dies zu einem weniger sicheren System führt.
Es gibt weitere Informationen und Performance - Tests mit PTI aktiviert und deaktiviert auf der PostgreSQL - Mailingliste - TLDR ist , dass es eine zwischen 10 und 30% Leistung auswirkt (Für ProstgreSQL, das sind - andere Dinge wie Spiele werden wahrscheinlich weniger Auswirkungen sehen) .
Beachten Sie, dass dies nur Intel-Prozessoren betrifft, da AMD anscheinend nicht betroffen ist ( reddit ). Daher ist dies auf AMD vorhersehbar standardmäßig deaktiviert.
Update: Das Problem wurde mit zwei Monikern versehen: Meltdown und Spectre . Ich habe die Antwort mit den neuen Informationen aktualisiert.
Es wird zunächst ein Kernel-Patch sein. Es wird als höhere Version angezeigt. Es wird installiert, weil Sie linux-image-generic
installiert haben. Dafür ist dieses Paket gedacht. Sie könnten also entfernen linux-image-generic
. Es ist eine schreckliche, katastrophale Idee, die Sie allen Arten von Gemeinheiten aussetzen wird, aber Sie könnten es tun. Dort kann auch die CPU - Mikro sein , die folgt , in linux-firmware
eine in-CPU fix. Das liegt wirklich an Intel.
Die Methode, mit der Sie dieses Problem beheben, ist irrelevant. Sie möchten etwas umgehen, bei dem Sie weder die tatsächlichen Auswirkungen des Fehlers noch die Leistungskosten für die Behebung kennen.
Der Bug ist böse. Die gemeldeten CVEs sind prozessübergreifende Speicherlesevorgänge. Jeder Prozess, der den Speicher eines anderen Prozesses lesen kann. Eingabe, Passwörter, die ganze Menge. Dies hat wahrscheinlich auch Auswirkungen auf Sandkästen. Es ist noch sehr früh und ich erwarte, dass die Leute dies weiter vorantreiben, sowohl in Bezug auf die Wirkung als auch auf den Zugang.
Der Leistungseinbruch ist wahrscheinlich nicht so groß, wie Sie befürchten. Die Zahlen, die die Leute herumwerfen, konzentrieren sich auf die theoretische Leistung des Subsystems oder den schlimmsten Fall. Eine schlecht zwischengespeicherte Datenbank wird am härtesten getroffen. Spiele und alltägliche Dinge werden sich wahrscheinlich nicht messbar ändern.
Sogar jetzt können wir sehen, was der eigentliche Fehler ist, es ist viel zu früh zu sagen, wie sich das auswirkt. Während freier Lesezugriff auf RAM schlecht ist, gibt es schlimmere Dinge da draußen. Ich würde auch testen, um zu sehen, inwieweit sich die Korrektur auf Sie auswirkt (mit den Dingen, die Sie tun).
Beginnen Sie noch nicht damit, Ihre GRUB-Konfiguration mit Flags vorzuladen oder Kernel-Metapakete zu entfernen.
pti=off
zur Kernel-Befehlszeile (in GRUB), um den Patch zu deaktivieren.
Obwohl ich dies nicht empfehle, ist es möglich, PTI zu deaktivieren
mit dem Befehlszeilenparameter nopti kernel
nach Phoronix .
Hängen Sie dazu nopti
an die Zeichenfolge neben der Zeile an, die mit GRUB_CMDLINE_LINUX_DEFAULT
in beginnt /etc/default/grub
und dann ausgeführt wird
sudo update-grub
gefolgt von einem Neustart.
Weitere Informationen zu Kernel-Boot-Parametern zum Deaktivieren von leistungsrelevanten Sicherheitsfunktionen finden Sie unter: Spectre & Meltdown MitigationControls in Ubuntu Wiki
Fügen Sie am Ende Ihres Kernel-Arguments in grub Folgendes hinzu:
spectre_v2 = off nopti pti = off
Kernel-Parameter werden unter https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls beschrieben
Einfachster Weg: Deaktivieren Sie in der Kernel-Konfiguration
-> Sicherheitsoptionen
[] Entfernen Sie die Kernelzuordnung im Benutzermodus
Kompilieren Sie dann den neuen Kernel
nopti
ist wahrscheinlich die bessere / einfachere Wahl für die meisten.