Karena masalah lubang keamanan CPU Intel saat ini, ada tambalan yang diharapkan yang memperlambat kinerja sistem.
Bagaimana saya bisa memastikan bahwa tambalan ini tidak akan diinstal pada sistem Ubuntu saya?
Karena masalah lubang keamanan CPU Intel saat ini, ada tambalan yang diharapkan yang memperlambat kinerja sistem.
Bagaimana saya bisa memastikan bahwa tambalan ini tidak akan diinstal pada sistem Ubuntu saya?
Jawaban:
Patch (alias "isolasi tabel halaman") akan menjadi bagian dari pembaruan kernel normal (yang akan Anda dapatkan ketika Anda memperbarui sistem Anda). Namun, memperbarui kernel sangat dianjurkan, karena kernel ini juga mendapatkan banyak perbaikan keamanan lainnya. Jadi saya tidak akan merekomendasikan hanya menggunakan kernel yang sudah ketinggalan zaman tanpa perbaikan.
Namun, Anda dapat secara efektif menonaktifkan tambalan dengan menambahkan pti=off
( tambalan kernel menambahkan opsi ini, dengan lebih banyak info ) ke baris perintah kernel Anda ( howto ). Perhatikan bahwa melakukan ini akan menghasilkan sistem yang kurang aman.
Ada lebih banyak info dan tes kinerja dengan PTI diaktifkan dan dinonaktifkan di milis PostgreSQL - TLDR adalah bahwa ia memiliki dampak kinerja antara 10 dan 30% (Untuk ProstgreSQL, yaitu - hal - hal lain seperti permainan mungkin akan melihat dampaknya lebih sedikit) .
Perhatikan bahwa ini hanya akan memengaruhi prosesor Intel, karena AMD tampaknya tidak terpengaruh ( reddit ), jadi ini dipastikan akan dinonaktifkan secara default pada AMD.
Pembaruan: Masalah ini telah diberikan sepasang monikers: Meltdown dan Spectre . Saya telah memperbarui jawabannya dengan informasi baru.
Ini akan menjadi patch kernel pada awalnya. Itu akan muncul sebagai versi yang lebih tinggi. Itu akan diinstal karena Anda telah linux-image-generic
menginstal. Untuk itulah paket itu. Jadi Anda bisa menghapus linux-image-generic
. Itu adalah ide yang mengerikan dan berbahaya , yang akan membuat Anda terpapar pada segala jenis kejahatan tetapi Anda bisa melakukannya. Ada mungkin juga menjadi CPU microcode yang mengikuti di linux-firmware
untuk memperbaiki di-CPU. Itu benar-benar di Intel.
Metode yang Anda ikuti untuk memperbaiki ini tidak relevan. Anda meminta untuk memintas sesuatu di mana Anda tidak tahu dampak sebenarnya dari bug, atau biaya kinerja untuk memperbaikinya.
Bugnya jahat. CVE yang dilaporkan adalah pembacaan memori lintas proses. Setiap proses dapat membaca memori dari proses lainnya. Masukan, kata sandi, semuanya. Ini kemungkinan memiliki implikasi pada kotak pasir juga. Ini adalah hari yang sangat awal dan saya berharap orang untuk mendorong ini lebih jauh, baik dalam dampak dan akses.
Performa hit sepertinya tidak sebesar yang Anda khawatirkan. Angka-angka yang dilontarkan orang berfokus pada kinerja subsistem teoretis, atau kasus terburuk. Basis data yang di-cache tidak bagus adalah yang akan terkena dampak paling parah. Permainan, dan hal-hal sehari-hari sepertinya tidak akan berubah secara terukur.
Bahkan sekarang kita dapat melihat apa bug yang sebenarnya, masih terlalu dini untuk mengatakan apa dampaknya. Walaupun akses baca gratis ke RAM buruk, ada hal-hal buruk di luar sana. Saya juga akan menguji untuk melihat seberapa besar perbaikan sebenarnya berdampak pada Anda (dengan hal-hal yang Anda lakukan).
Jangan mulai pre-loading konfigurasi GRUB Anda dengan flag, atau menghapus paket meta Kernel dulu.
pti=off
ke baris perintah kernel (dalam GRUB) untuk menonaktifkan tambalan.
Meskipun saya tidak merekomendasikan ini, adalah mungkin untuk menonaktifkan PTI
dengan parameter baris perintah kernel nopti
menurut Phoronix .
Untuk melakukan hal ini, append nopti
ke string di sebelah garis yang dimulai dengan GRUB_CMDLINE_LINUX_DEFAULT
di /etc/default/grub
dan kemudian berjalan
sudo update-grub
diikuti oleh restart.
Lebih lanjut tentang parameter boot kernel untuk menonaktifkan fitur keamanan yang relevan dengan kinerja, lihat: Spectre & Meltdown MitigationControls di Ubuntu Wiki
Tambahkan berikut ini di akhir argumen kernel Anda di grub: -
spectre_v2 = off nopti pti = off
Parameter kernel dijelaskan di: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls
Cara termudah: hapus centang pada konfigurasi kernel
-> Opsi keamanan
[] Hapus pemetaan kernel dalam mode pengguna
kemudian kompilasi kernel baru
nopti
mungkin merupakan pilihan yang lebih baik / lebih mudah.