Как я могу исправить 'присутствующую ошибку ЦП MDS и включенную SMT, утечку данных возможные 'ошибки из logwatch?
The сообщение об ошибке говорит, чтобы проверить:
См. https://www.kernel.org/doc/html/latest/admin-guide/ hw-vuln / mds.html для получения более подробной информации.
Но я не на 100% уверен, как это исправить.
Я посмотрел в / etc / default / intel-microcode и нашел это:
# Configuration script for intel-microcode version 3
#
# initramfs helper
#
# Set this to "no" to disable automatic microcode updates on boot;
# Set this to "auto" to use early initramfs mode automatically (default);
# Set this to "early" to always attempt to create an early initramfs;
# IUCODE_TOOL_INITRAMFS=auto
# Set this to "yes" (default) to use "iucode_tool --scan-system" to reduce
# the initramfs size bloat, by detecting which Intel processors are active
# in this system, and installing only their microcodes.
#
# Set this to "no" to either include all microcodes, or only the microcodes
# selected through the use of IUCODE_TOOL_EXTRA_OPTIONS below.
#
# WARNING: including all microcodes will increase initramfs size greatly.
# This can cause boot issues if the initramfs is already large.
# IUCODE_TOOL_SCANCPUS=yes
# Extra options to pass to iucode_tool, useful to forbid or to
# force the inclusion of microcode for specific processor signatures.
# See iucode_tool(8) for details.
#IUCODE_TOOL_EXTRA_OPTIONS=""
, который я изменил на это:
# Configuration script for intel-microcode version 3
#
# initramfs helper
#
# Set this to "no" to disable automatic microcode updates on boot;
# Set this to "auto" to use early initramfs mode automatically (default);
# Set this to "early" to always attempt to create an early initramfs;
IUCODE_TOOL_INITRAMFS=auto
# Set this to "yes" (default) to use "iucode_tool --scan-system" to reduce
# the initramfs size bloat, by detecting which Intel processors are active
# in this system, and installing only their microcodes.
#
# Set this to "no" to either include all microcodes, or only the microcodes
# selected through the use of IUCODE_TOOL_EXTRA_OPTIONS below.
#
# WARNING: including all microcodes will increase initramfs size greatly.
# This can cause boot issues if the initramfs is already large.
IUCODE_TOOL_SCANCPUS=yes
# Extra options to pass to iucode_tool, useful to forbid or to
# force the inclusion of microcode for specific processor signatures.
# See iucode_tool(8) for details.
#IUCODE_TOOL_EXTRA_OPTIONS=""
Ранее я отключил гиперпоточность в BIOS и также изменил настройки в / etc / default / grub на следующее:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash maxcpus=6"
Так как на моей машине установлено шесть физических процессоров.
1 ответ
Примечание : отмените предыдущие изменения в / etc / default / intel-microcode и / etc / default / grub .
Управление смягчением последствий в команде ядра line
Командная строка ядра позволяет управлять митигацией MDS во время загрузки с опцией «mds =». Допустимые аргументы для этой опции:
full
Если ЦП уязвим, включите все доступные меры по снижению уязвимости MDS, очистку буфера ЦП при выходе в пространство пользователя и при входе в ВМ. Свободные переходы также защищены, если SMT включен.
Он не отключает SMT автоматически.
full,nosmt
Аналогично mds = full, SMT отключен на уязвимых процессорах. Это полное устранение.
off
Полностью отключает смягчение MDS.
sudo -H gedit / etc / default / grub
Изменить:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"
Кому:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash mds=full,nosmt"
Сохранить файл и выйти gedit .
sudo update-grub
reboot
Примечание. Поймите, что вы получите ОГРОМНЫЙ удар по производительности в многоядерных или многоядерных конфигурациях.
Примечание. Если производительность слишком велика, попробуйте mds = full вместо mds = full, nosmt .