FERRAMENTAS LINUX: Um interruptor global para matar as soluções alternativas do Spectre / Meltdown do CPU do Linux?

domingo, 26 de agosto de 2018

Um interruptor global para matar as soluções alternativas do Spectre / Meltdown do CPU do Linux?




Confira!!



Algo que tenho visto em nossos fóruns e em outros lugares - mais recentemente na lista de discussão do kernel - é se existe uma única opção de kernel que pode ser usada para desabilitar todas as soluções alternativas de Spectre / Meltdown e qualquer outra vulnerabilidade de CPU prejudicial ao desempenho. soluções alternativas.

Com muitas das correções de mitigação para essas vulnerabilidades de execução especulativa atingindo muitos processadores hoje em dia, muitas vezes há um "imposto de desempenho" mensurável associado a elas. Felizmente, para a maioria das atenuações, elas podem ser desativadas em tempo de execução por meio de várias opções.

Mas infelizmente não há uma opção global para desativar facilmente todas essas atenuações ... Isso foi perguntado recentemente sobre o LKML mas infelizmente nenhum comentário dos desenvolvedores de kernel upstream se eles aceitariam e usariam essa opção, " Desativar é uma boa opção para ambientes estritamente confinados onde nenhum código não confiável de terceiros não deve ser executado, por exemplo, um farm de renderização, um supercomputador ou até mesmo um servidor doméstico que executa o servidor Samba / SSH e nada mais. ”Esse indivíduo também esperava que um switch Kconfig fosse capaz de construir facilmente kernels que desativassem (ou não incluíssem) permanentemente o trabalho atenuado.

Por enquanto, a maneira mais próxima de criar um kernel não mitigado para não perder o desempenho da CPU seria inicializar o kernel com pti = off spectre_v2 = off l1tf = off nospec_store_bypass_disable no_stf_barrier . Claro, isso não é recomendado, a menos que você realmente confie no código em execução no seu sistema e na segurança geral do sistema.

Fonte

Até a próxima!!

Nenhum comentário:

Postar um comentário