Debido al problema actual del agujero de seguridad de la CPU Intel, se espera un parche que ralentiza el rendimiento del sistema.
¿Cómo puedo asegurarme de que este parche no se instalará en mi sistema Ubuntu?
Debido al problema actual del agujero de seguridad de la CPU Intel, se espera un parche que ralentiza el rendimiento del sistema.
¿Cómo puedo asegurarme de que este parche no se instalará en mi sistema Ubuntu?
Respuestas:
El parche (también conocido como "aislamiento de la tabla de páginas") formará parte de una actualización normal del núcleo (que obtendrá cuando actualice su sistema). Sin embargo, mantener el núcleo actualizado es muy recomendable, ya que también recibe muchas otras correcciones de seguridad. Por lo tanto, no recomendaría simplemente usar un núcleo obsoleto sin la solución.
Sin embargo, puede deshabilitar efectivamente el parche agregando pti=off
( parche del kernel agregando esta opción, con más información ) a la línea de comando del kernel ( howto ). Tenga en cuenta que hacer esto dará como resultado un sistema menos seguro.
Hay más información y pruebas de rendimiento con PTI habilitado y deshabilitado en la lista de correo de PostgreSQL : TLDR es que tiene un impacto de rendimiento de entre 10 y 30% (para ProstgreSQL, es decir, otras cosas como los juegos probablemente tendrán menos impacto) .
Tenga en cuenta que esto solo afectará a los procesadores Intel, ya que AMD aparentemente no se ve afectado ( reddit ), por lo que previsiblemente se desactivará de forma predeterminada en AMD.
Actualización: el tema ha recibido un par de apodos: Meltdown y Spectre . He actualizado la respuesta con la nueva información.
Será un parche de kernel inicialmente. Aparecerá como una versión superior. Se instalará porque lo has linux-image-generic
instalado. Para eso es ese paquete. Para que puedas eliminar linux-image-generic
. Es una idea horrible y desastrosa , que lo expondrá a todo tipo de desagradables, pero podría hacerlo. También puede haber un microcódigo de CPU que sigue linux-firmware
para una solución en la CPU. Eso es realmente en Intel.
El método que sigue para solucionar esto es irrelevante. Está pidiendo omitir algo donde no conoce ni el verdadero impacto del error, ni el costo de rendimiento de solucionarlo.
El error es desagradable. Los CVE informados son lectura de memoria de proceso cruzado. Cualquier proceso puede leer la memoria de cualquier otro proceso. Entrada, contraseñas, todo el lote. Es probable que esto también tenga implicaciones en los sandboxes. Es muy temprano y espero que la gente lo impulse aún más, tanto en impacto como en acceso.
El rendimiento probablemente no sea tan grande como te preocupa. Los números que la gente arroja se centran en el rendimiento del subsistema teórico, o en el peor de los casos. Una base de datos mal almacenada en caché es lo que más se verá afectado. El juego y las cosas del día a día probablemente no va a cambiar de manera considerable.
Incluso ahora podemos ver cuál es el error real, es demasiado pronto para decir cuál es el impacto. Si bien el acceso de lectura libre a RAM es malo, hay cosas peores por ahí. También probaría para ver cuánto te afecta realmente la solución (con las cosas que haces).
No comience a cargar previamente su configuración de GRUB con banderas, ni a eliminar metapaquetes de Kernel por el momento.
pti=off
a la línea de comando del núcleo (en GRUB) para deshabilitar el parche.
Aunque no recomiendo esto, es posible deshabilitar PTI
con el parámetro de línea de comandos del kernel nopti
de acuerdo con Phoronix .
Para hacer esto, agregue nopti
la cadena al lado de la línea que comienza con GRUB_CMDLINE_LINUX_DEFAULT
in /etc/default/grub
y luego ejecuta
sudo update-grub
seguido de un reinicio.
Para obtener más información sobre los parámetros de arranque del kernel para deshabilitar las características de seguridad relevantes para el rendimiento, consulte: Controles de mitigación de espectro y deshielo en Ubuntu Wiki
Agregue lo siguiente al final de su argumento de kernel en grub: -
spectre_v2 = apagado nopti pti = apagado
Los parámetros del kernel se describen en: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls
La forma más simple: desmarque la configuración del kernel
-> Opciones de seguridad
[] Eliminar la asignación de kernel en modo de usuario
luego compila el nuevo kernel
nopti
es probablemente una opción mejor / más fácil para la mayoría.