En raison du problème actuel de faille de sécurité du processeur Intel, un correctif attendu ralentira les performances du système.
Comment puis-je m'assurer que ce correctif ne sera pas installé sur mon système Ubuntu?
En raison du problème actuel de faille de sécurité du processeur Intel, un correctif attendu ralentira les performances du système.
Comment puis-je m'assurer que ce correctif ne sera pas installé sur mon système Ubuntu?
Réponses:
Le correctif (ou "Isolation de table de pages") fera partie d'une mise à jour normale du noyau (que vous obtiendrez lorsque vous mettrez à jour votre système). Cependant, il est vivement recommandé de garder le noyau à jour, car il reçoit également de nombreux correctifs de sécurité. Donc, je ne recommanderais pas simplement d'utiliser un noyau obsolète sans le correctif.
Cependant, vous pouvez effectivement désactiver le correctif en ajoutant pti=off
( correctif du noyau ajoutant cette option, avec plus d'informations ) à votre ligne de commande du noyau ( howto ). Notez que cela résultera en un système moins sécurisé.
Il y a plus de tests d'informations et de performances avec PTI activé et désactivé sur la liste de diffusion PostgreSQL - TLDR a un impact sur les performances compris entre 10 et 30% (pour ProstgreSQL, autrement dit, d'autres éléments, tels que les jeux, auront probablement moins d'impact) .
Notez que cela n'affectera que les processeurs Intel, car AMD n'est apparemment pas affecté ( reddit ), de sorte qu'il sera probablement désactivé par défaut sur AMD.
Mise à jour: Deux numéros de surnom ont été attribués à ce problème: Meltdown et Specter . J'ai mis à jour la réponse avec les nouvelles informations.
Ce sera initialement un correctif de noyau. Il apparaîtra comme une version supérieure. Ce sera installé parce que vous avez linux-image-generic
installé. C'est ce que ce paquet est pour. Donc, vous pouvez enlever linux-image-generic
. C'est une idée horrible et désastreuse , qui vous exposera à toutes sortes de problèmes, mais vous pouvez le faire. Il peut également y avoir un microcode de la CPU qui suit linux-firmware
pour un correctif dans la CPU. C'est vraiment sur Intel.
La méthode que vous suivez pour résoudre ce problème n'est pas pertinente. Vous demandez de contourner quelque chose où vous ne connaissez ni l'impact réel du bogue, ni les coûts de performance liés à sa résolution.
Le bug est méchant. Les CVE signalés sont des lectures de mémoire croisées. Tout processus pouvant lire la mémoire de tout autre processus. Saisie, mots de passe, le tout. Cela a probablement aussi des implications sur les bacs à sable. Nous en sommes aux premiers jours et je m'attends à ce que les gens poussent plus loin dans cette voie, tant en termes d'impact que d'accès
Les performances ne sont probablement pas aussi importantes que vous le craignez. Les chiffres sur lesquels les gens discutent sont axés sur les performances théoriques du sous-système, ou du pire des cas. Une base de données mal mise en cache est ce qui va être le plus durement touché. Les jeux et les activités quotidiennes ne vont probablement pas changer de manière mesurable.
Même maintenant, nous pouvons voir quel est le bogue, il est trop tôt pour dire quel est son impact. Bien que l'accès en lecture libre à la RAM soit mauvais, il y a des choses bien pires. Je testerais également pour voir quel impact le correctif a réellement sur vous (avec ce que vous faites).
Ne commencez pas à pré-charger votre configuration GRUB avec des indicateurs ou à supprimer les méta-packages du noyau pour l'instant.
pti=off
à la ligne de commande du noyau (dans GRUB) pour désactiver le correctif.
Bien que je ne le recommande pas, il est possible de désactiver PTI
avec le paramètre de ligne de commande du noyau nopti
selon Phoronix .
Pour ce faire, ajoutez nopti
à la chaîne située en regard de la ligne qui commence par GRUB_CMDLINE_LINUX_DEFAULT
in /etc/default/grub
puis lancez
sudo update-grub
suivi d'un redémarrage.
Pour plus d'informations sur les paramètres d'amorçage du noyau afin de désactiver les fonctionnalités de sécurité liées aux performances, voir: Spectre et fusion des contrôles d' atténuation dans Ubuntu Wiki
Ajoutez ce qui suit à la fin de l'argument de votre noyau dans grub: -
spectre_v2 = off nopti pti = off
Les paramètres du noyau sont décrits à l' adresse suivante : https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls.
Manière la plus simple: décocher dans la configuration du noyau
-> Options de sécurité
[] Supprimer le mappage du noyau en mode utilisateur
puis compiler le nouveau noyau
nopti
est probablement un choix meilleur / plus facile.