Comment désactiver l'isolement de table de pages pour retrouver les performances perdues en raison du patch de trou de sécurité du processeur Intel?

36

En raison du problème de trou de sécurité actuel du processeur Intel, un correctif est attendu, ce qui ralentit les performances du système.

Comment puis-je m'assurer que ce correctif ne sera pas installé sur mon système Ubuntu?

    
posée mahrens61 03.01.2018 - 15:00
la source

5 réponses

51

Le patch (ou "isolation de table de pages") fera partie d’une mise à jour normale du noyau. Cependant, il est fortement recommandé de maintenir le noyau à jour, car il contient également de nombreux correctifs de sécurité. Donc, je ne recommande pas d'utiliser simplement un noyau obsolète sans le correctif.

Cependant, vous pouvez désactiver le correctif en ajoutant pti=off ( correctif du noyau ajoutant cette option, avec plus d’informations ) à la ligne de commande du noyau ( howto ). Notez que cela entraînera un système moins sécurisé.

Il y a plus d'informations et de tests de performance avec PTI activé et désactivé sur la liste de diffusion PostgreSQL - TLDR a un impact sur les performances compris entre 10 et 30% (pour ProstgreSQL, c’est-à-dire autre chose tels que les jeux aura probablement moins d'impact.

Notez que cela n'affecte que les processeurs Intel, car AMD n'est apparemment pas affecté (reddit ), il sera donc probablement désactivé par défaut sur AMD.

    
réponse donnée JonasCz 03.01.2018 - 16:21
la source
35

Mise à jour: une paire de monikers a été attribuée au problème: Meltdown et Spectre . J'ai mis à jour la réponse avec les nouvelles informations.

Ce sera un patch du noyau au départ. Il apparaîtra comme une version supérieure. Il sera installé car linux-image-generic est installé. C'est à quoi sert ce paquet. Vous pouvez donc supprimer linux-image-generic . C'est une idée horrible, désastreuse , qui vous exposera à toutes sortes de méchants , mais vous < em> pourrait le faire. Il se peut que soit également un microcode de processeur suivant dans linux-firmware pour un correctif in-CPU. C'est vraiment sur Intel.

La méthode que vous suivez pour résoudre ce problème n’est pas pertinente. Vous demandez de contourner quelque chose où vous ne connaissez ni l’impact réel du bogue, ni le coût des performances pour le corriger. p>

  • Le bug est méchant. Les CVE signalés sont des lectures de mémoire croisées. Tout processus pouvant lire la mémoire de tout autre processus. Entrée, mots de passe, le tout. Cela a probablement des implications sur les bacs à sable aussi. C'est très tôt et je m'attends à ce que les gens poussent encore plus loin, à la fois en termes d'impact et d'accès.

  • Le problème de performance n’est probablement pas aussi important que vous le craignez. Le nombre de personnes qui se concentrent sur la performance théorique du sous-système, ou le pire des cas. Une base de données mal mise en cache est ce qui va être le plus durement touché. Les jeux et les activités quotidiennes ne vont probablement pas changer de manière mesurable.

Même maintenant, nous pouvons voir le bug réel, il est beaucoup trop tôt pour dire quel est l’impact. Bien que l'accès en lecture libre à la mémoire vive soit mauvais, il y a pire. Je testerais aussi pour voir à quel point la correction a un impact sur vous (avec les choses que vous faites).

Ne commencez pas à pré-charger votre configuration GRUB avec des drapeaux ou à supprimer les méta-packages du noyau pour le moment.

    
réponse donnée Oli 03.01.2018 - 15:14
la source
11

Bien que je ne le recommande pas, il est possible de désactiver PTI

  

avec le paramètre de ligne de commande du noyau nopti

selon Phoronix .

Pour ce faire, ajoutez nopti à la chaîne située à côté de la ligne commençant par GRUB_CMDLINE_LINUX_DEFAULT in /etc/default/grub , puis exécutée

sudo update-grub

suivi d’un redémarrage.

Pour en savoir plus sur les paramètres de démarrage du noyau, consultez le Wiki Ubuntu .

    
réponse donnée nixpower 03.01.2018 - 23:24
la source
1

Plus simple: décochez la configuration du noyau

- & gt; Options de sécurité

[] Supprimez le mappage du noyau en mode utilisateur

compilez ensuite le nouveau noyau

    
réponse donnée Krzysztof S-k 04.01.2018 - 00:26
la source
0

Ajoutez ce qui suit à la fin de votre argument du noyau dans grub: -

  

spectre_v2 = off nopti pti = off

    
réponse donnée cnd 19.06.2018 - 05:05
la source

Lire d'autres questions sur les étiquettes