Как отключить изоляцию таблицы страниц для восстановления производительности, потерянной из-за патча дыры в безопасности процессора Intel?

Хотя я не рекомендую это делать, можно отключить PTI

с помощью параметра командной строки ядра nopti

согласно Phoronix .

Для этого добавьте nopti к строке рядом со строкой, которая начинается с GRUB_CMDLINE_LINUX_DEFAULT в / etc / default / grub , а затем запускается

sudo update-grub

с последующим перезапуском.

Подробнее о параметрах загрузки ядра для отключения важных для производительности функций безопасности см .: Spectre & Meltdown MitigationControls в Ubuntu Wiki

Патч (он же «Изоляция таблицы страниц») будет частью обычного обновления ядра (которое вы получите при обновлении системы). Тем не менее, настоятельно рекомендуется поддерживать ядро ​​в актуальном состоянии, так как оно также содержит множество других исправлений безопасности. Поэтому я бы не рекомендовал просто использовать устаревшее ядро ​​без исправления.

Однако вы можете эффективно отключить патч, добавив pti = off ( патч ядра, добавив этот вариант с дополнительной информацией ) в командную строку ядра ( howto ). Обратите внимание, что это приведет к менее безопасной системе.

В списке рассылки PostgreSQL есть дополнительная информация и тесты производительности с включенным и отключенным PTI. TL; DR - это то, что его производительность составляет от 10 до 30%. влияние (для ProstgreSQL, то есть - другие вещи , такие как игры , вероятно, будут меньше подвержены влиянию).

Обратите внимание, что это повлияет только на процессоры Intel, поскольку AMD явно не затронута ] ( reddit ), так что это, вероятно, будет отключено по умолчанию на AMD.

Обновление: Проблеме присвоено несколько прозвищ: Meltdown и Spectre . Я обновил ответ новой информацией.

Сначала это будет патч ядра. Он будет отображаться как более высокая версия. Он будет установлен, потому что у вас установлено linux-image-generic . Вот для чего этот пакет. Итак, вы можете удалить linux-image-generic . Это ужасная, катастрофическая идея, которая подвергнет вас разного рода неприятностям , но вы могли бы это сделать. Там может также быть микрокод ЦП, который следует в linux-firmware для исправления внутри ЦП. Это действительно на Intel.

Метод, которым вы следуете, чтобы исправить это, не имеет значения. Вы просите обойти что-то, в чем вы не знаете ни истинного воздействия ошибки, ни стоимости ее исправления.

• Ошибка неприятная. Сообщенные CVE - это чтение памяти между процессами. Любой процесс может читать память любого другого процесса. Ввод, пароли, все такое. Это, вероятно, имеет значение и для песочниц. Это очень рано, и я ожидаю, что люди будут продвигать это дальше, как в плане воздействия, так и в плане доступа.

• Падение производительности, вероятно, не так велико, как вы беспокоитесь. Цифры, которые люди бросают, сосредоточены на теоретической производительности подсистемы или на худшем случае. Плохо кэшированная база данных - это то, что пострадает больше всего. Игры и повседневные вещи, скорее всего, не претерпят заметных изменений.

Даже сейчас мы можем видеть, в чем заключается настоящая ошибка, но еще слишком рано говорить о ее последствиях. Хотя свободный доступ для чтения к ОЗУ - это плохо, есть вещи и похуже. Я бы также проверил, насколько исправление на самом деле влияет на вас (в том, что вы делаете).

Не начинайте предварительную загрузку конфигурации GRUB с флагами или удаление метапакетов ядра.

Обновление: Выпущена проблема с парой названий: Расплавление и Призрак . Я обновил ответ новой информацией.

Сначала это будет патч для ядра. Это будет отображаться как более высокая версия. Он будет установлен, потому что у вас установлено linux-image-generic. Вот для чего этот пакет. Так что вы можете удалить linux-image-generic. Это ужасная гибельная идея, которая подвергнет вас всевозможным мерзостям , но вы могли бы это сделать. может также иметь микрокод ЦП, который следует в linux-firmware для исправления в ЦП. Это действительно на Intel.

Метод, которым вы пользуетесь, чтобы устранить это, не имеет значения. Вы просите обойти что-то, где вы не знаете ни истинного влияния ошибки, ни затрат на ее устранение.

• Ошибка неприятная. Сообщаемые CVE являются кросс-процессными считываниями памяти. Любой процесс, способный читать память любого другого процесса. Ввод, пароли, всего много. Это, вероятно, имеет последствия и для песочниц. Это очень ранние дни, и я ожидаю, что люди будут продвигать это дальше, как в плане воздействия, так и в плане доступа.

• Вероятность того, что производительность снизится, не так велика, как ты беспокоишься. Цифры, которые люди бросают вокруг, сосредотачиваются на теоретической производительности подсистемы, или худшем случае. Плохо кэшированная база данных - это то, что получит самый сильный удар. Игры и повседневные дела, вероятно, не будут заметно меняться.

Даже сейчас мы можем видеть, что является настоящей ошибкой, еще слишком рано говорить, что это за влияние. В то время как свободный доступ для чтения к ОЗУ плох, но есть и худшие вещи. Я также проверил бы, насколько исправление действительно влияет на вас (с тем, что вы делаете).

Пока не начинайте предварительную загрузку конфигурации GRUB с флагами и не удаляйте метапакеты Kernel.

Добавьте следующее в конец аргумента ядра в grub: -

spectre_v2 = off nopti pti = off

Параметры ядра описаны по адресу: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls

Самый простой способ: снимите флажок в конфигурации ядра

-> Параметры безопасности

[] Удалите отображение ядра в пользовательском режиме

, затем скомпилируйте новое ядро ​​