fbpx
-3.2 C
София

Нови опции в Linux ядрото за изключване на защитата от Spectre

Най-четени

Даниел Десподовhttps://www.kaldata.com/
Ежедневен автор на новини. Увличам се от съвременни технологии, оръжие, информационна безопасност, спорт, наука и концепцията Internet of Things.

Поради твърде голямото влияние върху производителността на мерките за защита срещу Spectre, повечето системни администратори се замислят от целесъобразността за инсталирането на тези пачове.

Предприетите мерки за предотвратяване на експлоатацията на нашумелите хардуерни уязвимости от типа на Spectre се превърнаха в истинско главоболие за системните администратори, понеже тяхното използване води до съществено забавяне на производителността на компютърните системи. Така наприме, инструкцията Single Thread Indirect Branch Predictors (STIBP) намалява производителността на PHP сървърите със сериозните 30%.

През изминалата година системните администратори нееднократно призоваваха разработчиците на Linux да дадат възможност за изключването на различните методи за защита. Сега екипът на Linux въведе подобни опции за изключване на различните защити от Meltdown и Spectre.

В ядрата Linux 4.15, 4.17 и 4.19 бяха добавени следните опции за изключване на съответния клас уязвимости:
  • nospectre_v2 – изключва защитата от Spectre v2 (CVE-2017-5715)
  • nospec_store_bypass_disable – за Spectre v4 (CVE-2018-3639)
  • nospectre_v1 – за Spectre v1 (CVE-2017-5753)

Новите опции могат да се задават като параметри на Linux Kernel още при стартирането на ядрото

Редица експерти по информационна безопасност са на мнение, че в редица случаи защитата от Spectre не е необходима, като влиянието на тези пачове върху производителността значително превишава ползата от тях. Това важи за почти всички обикновени потребители, но е особено важно например при компютърните ферми за рендиране на изображения – клъстърите за компютърна графика, които работят в изолирана среда и подобно забавяне е съвсем безсмислено.

Абонирай се
Извести ме за
guest
4 Коментара
стари
нови
Отзиви
Всички коментари
Стоян
Стоян
2 години

Супер сте дали статията, дайте и начините как да изключим тези пачове.

caball
caball
Отговор на  Стоян
2 години
Стоян
Стоян
Отговор на  caball
2 години

И как биха се изключили, като добавим,
spec_store_bypass_disable=on
или
nospec_store_bypass_disable ???
иначе grep . /sys/devices/system/cpu/vulnerabilities/*
nano /etc/default/grub
след това
grub-mkconfig -o /boot/grub/grub.cfg

Обеззаглавен
Обеззаглавен
Отговор на  Стоян
2 години

С две думи параметри могат да се слагат във файла /etc/default/grub срещу GRUB_CMDLINE_LINUX_DEFAULT. А после се прави нов конфигурационен файл с grub-mkconfig -o /boot/grub/grub.cfg или с програмата update-grub, ако я имаш. Разбира се всичко това с root права (sudo).

Нови ревюта

Подобни новини