web-dev-qa-db-fra.com

Comment désactiver l'isolation des tables de pages pour retrouver les performances perdues à cause du correctif de trou de sécurité du processeur Intel?

En raison du problème actuel de faille de sécurité du processeur Intel, un correctif attendu ralentira les performances du système.

Comment puis-je m'assurer que ce correctif ne sera pas installé sur mon système Ubuntu?

securityintelcpupatch
40
mahrens61

Le correctif (ou "Isolation de table de pages") fera partie d'une mise à jour normale du noyau (que vous obtiendrez lorsque vous mettrez votre système à jour). Cependant, il est vivement recommandé de garder le noyau à jour, car il reçoit également de nombreux correctifs de sécurité. Donc, je ne recommanderais pas d'utiliser un noyau obsolète sans le correctif.

Cependant, vous pouvez effectivement désactiver le correctif en ajoutant pti=off ( correctif du noyau ajoutant cette option, avec plus d'informations ) à votre ligne de commande du noyau ( howto ). Notez que cela résultera en un système moins sécurisé.

Il y a plus de tests d'informations et de performances avec PTI activé et désactivé sur la liste de diffusion PostgreSQL - TLDR a un impact sur les performances compris entre 10 et 30% (Pour ProstgreSQL, c'est - autres choses tels que les jeux aura probablement moins d’impact).

Notez que cela n'affectera que les processeurs Intel, comme AMD n'est apparemment pas affecté ( reddit ), ce qui sera donc désactivé par défaut sur AMD.

54
JonasCz

Mise à jour: Une paire de monikers a été attribuée au problème: Meltdown and Specter . J'ai mis à jour la réponse avec les nouvelles informations.

Ce sera initialement un correctif de noyau. Il apparaîtra comme une version supérieure. Il sera installé car vous avez installé linux-image-generic. C'est ce que ce paquet est pour. Vous pouvez donc supprimer linux-image-generic. C'est une idée horrible désastreuse , qui vous exposera à toutes sortes de méchants mais vous pourriez le faire. Il peut également être un microcode CPU suivant linux-firmware pour un correctif intégré à la CPU. C'est vraiment sur Intel.

La méthode que vous suivez pour résoudre ce problème n'est pas pertinente. Vous demandez de contourner un point où vous ne connaissez ni l'impact réel du bogue, ni les coût de performance de la réparation.

  • Le bug est méchant. Les CVE signalés sont des lectures de mémoire croisées. Tout processus pouvant lire la mémoire de tout autre processus. Saisie, mots de passe, le tout. Cela a probablement aussi des implications sur les bacs à sable. Nous en sommes au tout début et je m'attends à ce que les gens poussent cela plus loin, à la fois en termes d'impact et d'accès.

  • Les performances ne sont probablement pas aussi importantes que vous le craignez. Les chiffres sur lesquels les gens discutent sont axés sur les performances théoriques du sous-système, ou du pire des cas. Une base de données mal mise en cache est ce qui va être le plus durement touché. Les jeux et les activités quotidiennes ne vont probablement pas changer de manière mesurable.

Même maintenant, nous pouvons voir quel est le bogue, il est trop tôt pour dire quel est son impact. Bien que l'accès en lecture gratuit à RAM soit mauvais, il y a pire. Je testerais également pour voir quel impact le correctif a réellement sur vous (avec ce que vous faites).

Ne commencez pas à pré-charger votre config GRUB avec des indicateurs, ni à supprimer les méta-packages du noyau pour l'instant.

35
Oli

Bien que je ne le recommande pas, il est possible de désactiver PTI

avec le paramètre de ligne de commande du noyau nopti

selon Phoronix .

Pour ce faire, ajoutez nopti à la chaîne en regard de la ligne commençant par GRUB_CMDLINE_LINUX_DEFAULT dans /etc/default/grub, puis en cours d'exécution.

Sudo update-grub

suivi d'un redémarrage.

Pour plus d'informations sur les paramètres de démarrage du noyau afin de désactiver les fonctionnalités de sécurité liées aux performances, voir: Spectre & Meltdown MitigationControls dans Ubuntu Wiki

13
nixpower

Ajoutez ce qui suit à la fin de l'argument de votre noyau dans grub: -

spectre_v2 = off nopti pti = off

Les paramètres du noyau sont décrits à l'adresse suivante: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls

4
cnd

Manière la plus simple: décocher dans la configuration du noyau

-> Options de sécurité

[] Supprime le mappage du noyau en mode utilisateur

puis compiler le nouveau noyau

3
Krzysztof S-k