Um patch foi proposto para o kernel Linux que forneceria uma nova opção de tempo de compilação do Kconfig de "CONFIG_DEFAULT_CPU_MITIGATIONS_OFF" para criar um kernel inseguro se quiser evitar a lista crescente de mitigações de segurança da CPU no kernel e sua sobrecarga de desempenho associada.
Apesar de arriscar a segurança do sistema, inicializar o kernel do Linux com a opção " mitigations=off " tem sido popular para evitar os custos de desempenho do Spectre, Meltdown e muitas outras vulnerabilidades de segurança da CPU que surgiram nos últimos anos. O uso de mitigations=off permite desabilitar em tempo de execução as várias mitigações de segurança no kernel para esses problemas de CPU.
Um patch proposto esta semana forneceria CONFIG_DEFAULT_CPU_MITIGATIONS_OFFcomo uma chave Kconfig que pode opcionalmente ser ativada para ter o mesmo efeito que mitigations=off, mas para ser aplicada no tempo de compilação para evitar ter que se preocupar em definir o sinalizador "mitigations=off".
Breno Leitão, desenvolvedor Debian e engenheiro de kernel da Meta, enviou o patch com essa opção. Breno explicou:
"No momento, não é possível desabilitar as mitigações de vulnerabilidades da CPU no tempo de compilação. A mitigação precisa ser desabilitada passando parâmetros do kernel, como 'mitigations=off'.
Este patch cria uma maneira fácil de desabilitar a mitigação durante o tempo de compilação (CONFIG_DEFAULT_CPU_MITIGATIONS_OFF), então , os usuários inseguros do kernel não precisam lidar com os parâmetros do kernel ao inicializar kernels inseguros."
Para ambientes de produção e outras áreas em que a segurança é de qualquer nível de importância, certamente é recomendável aderir às mitigações padrão. Mas para aqueles em ambientes off-line, usando ambientes de software "descartáveis" ou outros cenários em que a segurança não é muito importante, desabilitar essas mitigações pode melhorar o desempenho, especialmente para processadores Intel antigos (e, em menor grau, AMD e Arm). Os benchmarks recentes que fiz após a melhoria do Call Depth Tracking no Core i7 8700K e Xeon E3 v5 incluem números atuais de "mitigações = desligado" para aqueles interessados no impacto geral atual do desempenho.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário