Нови опции в Linux ядрото за изключване на защитата от Spectre

4
428

Поради твърде голямото влияние върху производителността на мерките за защита срещу Spectre, повечето системни администратори се замислят от целесъобразността за инсталирането на тези пачове.

Предприетите мерки за предотвратяване на експлоатацията на нашумелите хардуерни уязвимости от типа на Spectre се превърнаха в истинско главоболие за системните администратори, понеже тяхното използване води до съществено забавяне на производителността на компютърните системи. Така наприме, инструкцията Single Thread Indirect Branch Predictors (STIBP) намалява производителността на PHP сървърите със сериозните 30%.

През изминалата година системните администратори нееднократно призоваваха разработчиците на Linux да дадат възможност за изключването на различните методи за защита. Сега екипът на Linux въведе подобни опции за изключване на различните защити от Meltdown и Spectre.

В ядрата Linux 4.15, 4.17 и 4.19 бяха добавени следните опции за изключване на съответния клас уязвимости:
  • nospectre_v2 – изключва защитата от Spectre v2 (CVE-2017-5715)
  • nospec_store_bypass_disable – за Spectre v4 (CVE-2018-3639)
  • nospectre_v1 – за Spectre v1 (CVE-2017-5753)

Новите опции могат да се задават като параметри на Linux Kernel още при стартирането на ядрото

Редица експерти по информационна безопасност са на мнение, че в редица случаи защитата от Spectre не е необходима, като влиянието на тези пачове върху производителността значително превишава ползата от тях. Това важи за почти всички обикновени потребители, но е особено важно например при компютърните ферми за рендиране на изображения – клъстърите за компютърна графика, които работят в изолирана среда и подобно забавяне е съвсем безсмислено.

4
ДОБАВИ КОМЕНТАР

avatar
1 Коментари
3 Отговори на коментарите
3 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
3 Автори на коментарите
ОбеззаглавенСтоянcaball Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
Стоян
Стоян

Супер сте дали статията, дайте и начините как да изключим тези пачове.

caball
caball
Стоян
Стоян

И как биха се изключили, като добавим,
spec_store_bypass_disable=on
или
nospec_store_bypass_disable ???
иначе grep . /sys/devices/system/cpu/vulnerabilities/*
nano /etc/default/grub
след това
grub-mkconfig -o /boot/grub/grub.cfg

Обеззаглавен
Обеззаглавен

С две думи параметри могат да се слагат във файла /etc/default/grub срещу GRUB_CMDLINE_LINUX_DEFAULT. А после се прави нов конфигурационен файл с grub-mkconfig -o /boot/grub/grub.cfg или с програмата update-grub, ако я имаш. Разбира се всичко това с root права (sudo).