Làm cách nào để vô hiệu hóa Cách ly bảng trang để lấy lại hiệu suất bị mất do bản vá lỗ hổng bảo mật CPU của Intel?

Do vấn đề lỗ hổng bảo mật CPU Intel hiện tại, có một bản vá dự kiến ​​sẽ làm chậm hiệu năng hệ thống.

Làm cách nào để đảm bảo rằng bản vá này sẽ không được cài đặt trên hệ thống Ubuntu của tôi?

Bản vá (còn gọi là "Cách ly bảng trang") sẽ là một phần của bản cập nhật kernel thông thường (bạn sẽ nhận được khi cập nhật hệ thống của mình). Tuy nhiên, việc cập nhật kernel rất được khuyến khích, vì nó cũng nhận được rất nhiều sửa lỗi bảo mật khác. Vì vậy, tôi không khuyên bạn chỉ nên sử dụng kernel đã lỗi thời mà không sửa.

Tuy nhiên, bạn có thể vô hiệu hóa bản vá một cách hiệu quả bằng cách thêm pti=off( bản vá nhân thêm tùy chọn này, với nhiều thông tin hơn ) vào dòng lệnh kernel ( howto ). Lưu ý rằng làm điều này sẽ dẫn đến một hệ thống kém an toàn.

Có nhiều thông tin và kiểm tra hiệu suất với PTI được bật và tắt trong danh sách gửi thư của PostgreSQL - TLDR là nó có tác động hiệu suất từ ​​10 đến 30% (Đối với ProstgreQuery, nghĩa là - những thứ khác như trò chơi có thể sẽ ít ảnh hưởng hơn) .

Lưu ý rằng điều này sẽ chỉ ảnh hưởng đến bộ xử lý Intel, vì AMD rõ ràng không bị ảnh hưởng ( reddit ), do đó, điều này chắc chắn sẽ bị tắt theo mặc định trên AMD.

Cập nhật: Vấn đề đã được đưa ra một cặp biệt danh: Meltdown và Spectre . Tôi đã cập nhật câu trả lời với thông tin mới.

Nó sẽ là một bản vá kernel ban đầu. Nó sẽ hiển thị như một phiên bản cao hơn. Nó sẽ được cài đặt vì bạn đã linux-image-genericcài đặt. Đó là những gì gói đó là dành cho. Vì vậy, bạn có thể loại bỏ linux-image-generic. Đó là một ý tưởng khủng khiếp, thảm khốc , sẽ đưa bạn đến với tất cả các loại khó chịu nhưng bạn có thể làm được. Cũng có thể có vi mã CPU theo sau linux-firmwaređể sửa lỗi trong CPU. Điều đó thực sự trên Intel.

Phương pháp bạn làm theo để không sửa lỗi này là không liên quan. Bạn đang yêu cầu bỏ qua một cái gì đó mà bạn không biết tác động thực sự của lỗi cũng như chi phí hiệu năng của việc sửa nó.

• Lỗi là khó chịu. Các CVE được báo cáo là đọc bộ nhớ quá trình chéo. Bất kỳ quá trình có thể đọc bộ nhớ của bất kỳ quá trình khác. Đầu vào, mật khẩu, toàn bộ rất nhiều. Điều này có thể có ý nghĩa trên hộp cát quá. Đó là những ngày đầu tiên và tôi hy vọng mọi người sẽ thúc đẩy điều này hơn nữa, cả về tác động và quyền truy cập.

• Hiệu suất có thể không lớn như bạn lo lắng. Những con số mọi người đang tập trung xung quanh hiệu suất của hệ thống con lý thuyết, hoặc trường hợp xấu nhất. Một cơ sở dữ liệu được lưu trữ kém là những gì sẽ bị ảnh hưởng nặng nề nhất. Chơi game và công cụ hàng ngày dường như sẽ không thay đổi đáng kể.

Ngay cả bây giờ chúng ta có thể thấy lỗi thực sự là gì, vẫn còn quá sớm để nói tác động là gì. Trong khi truy cập đọc miễn phí vào RAM là xấu, có những điều tồi tệ hơn ngoài kia. Tôi cũng sẽ kiểm tra xem mức độ khắc phục thực sự ảnh hưởng đến bạn (với những việc bạn làm).

Đừng bắt đầu tải trước cấu hình GRUB của bạn bằng cờ hoặc xóa các gói meta Kernel.

Mặc dù tôi không khuyến nghị điều này nhưng có thể vô hiệu hóa PTI

với tham số dòng lệnh nopti kernel

theo Phoronix .

Để làm điều này, append noptivào chuỗi bên cạnh dòng mà bắt đầu với GRUB_CMDLINE_LINUX_DEFAULTtrong /etc/default/grubvà sau đó chạy

sudo update-grub

tiếp theo là khởi động lại.

Tìm hiểu thêm về các tham số khởi động kernel để vô hiệu hóa các tính năng bảo mật liên quan đến hiệu năng, xem: Spectre & Meltdown MitlationControls trong Ubuntu Wiki

Thêm phần sau vào cuối đối số kernel của bạn trong grub: -

Spectre_v2 = tắt nopti pti = tắt

Các tham số kernel được mô tả tại: https://wiki.ubfox.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitlationControls

Cách đơn giản nhất: bỏ chọn trong cấu hình kernel

-> Tùy chọn bảo mật

[] Xóa ánh xạ kernel trong chế độ người dùng

sau đó biên dịch kernel mới