45 votes

mahrens61 avatar

Comment désactiver l'isolation de la table des pages pour retrouver les performances perdues en raison du correctif de la faille de sécurité du processeur Intel ?

Demandé el 3 de Janvier, 2018
Quand la question a-t-elle été
50593 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

En raison de la faille de sécurité actuelle du processeur Intel, un correctif est attendu, qui ralentit les performances du système.

Comment puis-je m'assurer que ce patch ne sera pas installé sur mon système Ubuntu ?

Demandé el 3 de Janvier, 2018 par mahrens61

Réponses

Trop de publicités?

57voto

JonasCz avatar
JonasCz Points 3897

Le correctif (alias "Page table isolation") fera partie d'une mise à jour normale du noyau (que vous recevrez lorsque vous mettrez à jour votre système). Cependant, il est fortement recommandé de maintenir le noyau à jour, car il reçoit également de nombreux autres correctifs de sécurité. Je vous conseille donc no recommander d'utiliser un noyau obsolète sans le correctif.

Cependant, vous pouvez désactiver efficacement le correctif en ajoutant pti=off ( correctif du noyau ajoutant cette option, avec plus d'informations ) à la ligne de commande du noyau ( comment faire ). Il est à noter que cette méthode aboutira à un système moins sûr.

Vous trouverez plus d'informations et des tests de performance avec le PTI activé et désactivé sur le site Web de la Commission européenne. Liste de diffusion PostgreSQL - En résumé, l'impact sur les performances est de l'ordre de 10 à 30 % (pour ProstgreSQL, c'est-à-dire - autres choses tels que les jeux auront probablement moins d'impact).

Notez que cela ne concerne que les processeurs Intel, car les processeurs AMD n'est apparemment pas affectée ( reddit ), de sorte qu'il sera probablement désactivé par défaut sur AMD.

Répondu el 3 de Janvier, 2018 par JonasCz (3897 Points )

35voto

Mufaka avatar
Mufaka Points 54

Mise à jour : Deux noms ont été attribués à cette question : Meltdown et Spectre . J'ai mis à jour la réponse avec les nouvelles informations.

Au départ, il s'agira d'un correctif du noyau. Il apparaîtra comme une version supérieure. Il sera installé parce que vous avez linux-image-generic installés. C'est à cela que sert ce paquet. Vous pouvez donc supprimer linux-image-generic . C'est horrible, désastreux idée, qui vous exposera à toutes sortes de substances nocives mais vous pourrait le faire. Il y a peut également le microcode de l'unité centrale qui suit dans linux-firmware pour une correction au sein de l'unité centrale. C'est vraiment la responsabilité d'Intel.

La méthode que vous suivez pour résoudre ce problème n'a pas d'importance. Vous demandez à contourner quelque chose dont vous ne connaissez ni l'impact réel du bogue, ni le coût de sa correction en termes de performances.

  • L'insecte est désagréable. Les CVE signalés concernent la lecture de la mémoire d'un processus à l'autre. N'importe quel processus peut lire la mémoire de n'importe quel autre processus. Entrées, mots de passe, tout le reste. Cela a probablement aussi des implications sur les bacs à sable. Il est très tôt et je m'attends à ce que les gens poussent plus loin, à la fois en termes d'impact et d'accès.

  • L'impact sur les performances n'est probablement pas aussi important que vous le craignez. Les chiffres avancés par les gens se concentrent sur les performances théoriques du sous-système, ou le pire des cas. Une base de données mal mise en cache est ce qui sera le plus touché. Les jeux et les tâches quotidiennes ne changeront probablement pas de manière mesurable.

Même si nous pouvons maintenant voir quel est le véritable bogue, il est bien trop tôt pour dire quel en sera l'impact. Si l'accès en lecture libre à la mémoire vive est une mauvaise chose, il y a des choses bien pires. Je ferais également un test pour voir quel est l'impact réel de la correction sur vous (avec les choses que vous faites).

Ne commencez pas à précharger votre configuration Grub avec des drapeaux, ou à supprimer les méta-paquets du noyau tout de suite.

Répondu el 3 de Janvier, 2018 par Mufaka (54 Points )

14voto

Andrew Jarosz avatar
Andrew Jarosz Points 1

Bien que je ne le recommande pas, il est possible de désactiver le PTI

avec le nopti paramètre de ligne de commande du noyau

selon Phoronix .

Pour ce faire, ajoutez nopti à la chaîne de caractères située à côté de la ligne qui commence par GRUB_CMDLINE_LINUX_DEFAULT en /etc/default/grub puis en exécutant

sudo update-grub

suivi d'un redémarrage.

Pour en savoir plus sur les paramètres d'amorçage du noyau permettant de désactiver les fonctions de sécurité importantes pour les performances, voir : Contrôles d'atténuation de Spectre&Meltdown dans le Wiki Ubuntu

Répondu el 3 de Janvier, 2018 par Andrew Jarosz (1 Points )

5voto

cnd avatar
cnd Points 153

Ajoutez ce qui suit à la fin de l'argument du noyau dans Grub :-)

spectre_v2=off nopti pti=off

Les paramètres du noyau sont décrits à l'adresse suivante https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls

Répondu el 19 de Juin, 2018 par cnd (153 Points )

3voto

Krzysztof S-k avatar
Krzysztof S-k Points 67

Moyen le plus simple : décocher dans la configuration du noyau

->Options de sécurité

[Supprimer le mappage du noyau en mode utilisateur

puis compiler le nouveau noyau

Répondu el 4 de Janvier, 2018 par Krzysztof S-k (67 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X