Из-за текущей проблемы с безопасностью процессора Intel ожидается наличие патча, который замедляет производительность системы.
Как я могу убедиться, что этот патч не будет установлен в моей системе Ubuntu?
Из-за текущей проблемы с безопасностью процессора Intel ожидается наличие патча, который замедляет производительность системы.
Как я могу убедиться, что этот патч не будет установлен в моей системе Ubuntu?
Ответы:
Патч (он же «Изоляция таблицы страниц») будет частью обычного обновления ядра (которое вы получите, когда обновите свою систему). Однако настоятельно рекомендуется поддерживать ядро в актуальном состоянии, поскольку оно также содержит множество других исправлений безопасности. Поэтому я бы не рекомендовал просто использовать устаревшее ядро без исправления.
Тем не менее, вы можете эффективно отключить патч, добавив pti=off
( ядро патч , добавив эту опцию, с большим количеством информации ) в командной строке ядра ( HowTo ). Обратите внимание, что это приведет к снижению безопасности системы.
В списке рассылки PostgreSQL больше информации и тестов производительности с включенным и отключенным PTI - TLDR заключается в том, что он оказывает влияние на производительность от 10 до 30% (то есть для ProstgreSQL - другие вещи, такие как игры , вероятно, будут иметь меньшее влияние) ,
Обратите внимание, что это повлияет только на процессоры Intel, так как AMD, по-видимому, не затронута ( reddit ), поэтому она, по-видимому, будет отключена по умолчанию для AMD.
Обновление: выпуску дали пару прозвищ: Meltdown и Spectre . Я обновил ответ с новой информацией.
Изначально это будет патч для ядра. Это будет отображаться как более высокая версия. Он будет установлен, потому что вы linux-image-generic
установили. Вот для чего этот пакет. Так что вы можете удалить linux-image-generic
. Это ужасно, катастрофично идея, что будет подвергать вас всякие гадости , но вы могли бы сделать это. Также может быть микрокод процессора, который следует linux-firmware
для исправления в процессоре. Это действительно на Intel.
Метод, которым вы пользуетесь, чтобы устранить это, не имеет значения. Вы просите обойти что-то, где вы не знаете ни истинного влияния ошибки, ни затрат на ее устранение.
Ошибка неприятна. Сообщаемые CVE являются кросс-процессными считываниями памяти. Любой процесс, способный читать память любого другого процесса. Ввод, пароли, всего много. Это, вероятно, имеет последствия и для песочниц. Это очень рано, и я ожидаю, что люди будут продвигать это дальше, как в плане воздействия, так и в плане доступа.
Вероятность снижения производительности не так велика, как вы беспокоитесь. Цифры, которые люди бросают вокруг, сосредотачиваются на теоретической производительности подсистемы, или худшем случае. Плохо кэшированная база данных - это то, что получит самый сильный удар. Игры и повседневные дела, вероятно, не будут заметно меняться.
Даже сейчас мы можем видеть, что является настоящей ошибкой, еще слишком рано говорить о том, что это за влияние. В то время как свободный доступ для чтения к ОЗУ плох, но есть и худшие вещи. Я также проверил бы, насколько исправление действительно влияет на вас (с тем, что вы делаете).
Не начинайте предварительно загружать конфигурацию GRUB с флагами или просто не удаляйте метапакеты ядра.
pti=off
в командную строку ядра (в GRUB), чтобы отключить патч.
Хотя я не рекомендую это, можно отключить PTI
с параметром командной строки ядра nopti
по словам Фороникса .
Для этого добавьте nopti
строку рядом со строкой, начинающейся с GRUB_CMDLINE_LINUX_DEFAULT
in, /etc/default/grub
а затем запустите
sudo update-grub
с последующим перезапуском.
Дополнительные сведения о параметрах загрузки ядра для отключения функций безопасности, связанных с производительностью, см. В разделе MitigationControls Spectre & Meltdown в Ubuntu Wiki
Добавьте следующее в конец аргумента ядра в grub: -
spectre_v2 = выключен nopti pti = выключен
Параметры ядра описаны по адресу: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls.
Самый простой способ: снять отметку в конфигурации ядра
-> Параметры безопасности
[] Удалить отображение ядра в пользовательском режиме
затем скомпилируйте новое ядро
nopti
, вероятно, является лучшим / более легким выбором.