Comment désactiver l'isolation des tables de pages pour retrouver les performances perdues à cause du correctif de trou de sécurité du processeur Intel?

43

En raison du problème actuel de faille de sécurité du processeur Intel, un correctif attendu ralentira les performances du système.

Comment puis-je m'assurer que ce correctif ne sera pas installé sur mon système Ubuntu?

security  intel  cpu  patch 
mahrens61
source
49
Vous pouvez augmenter encore les performances de votre système en désactivant divers autres mécanismes de sécurité. Non, ce n'est pas une recommandation.
scai
11
Si les performances vous intéressent, je vous recommande de créer vous-même la dernière version candidate du noyau et de tester les pertes de performances subies par votre charge de travail. Vous trouverez peut-être que les frais généraux sont négligeables ou tolérables.
Jeffrey Bosboom
5
Je ne peux pas exagérer à quel point cette idée est terrible.
Alexander
13
Je vais être en désaccord. Personnellement, je ne conseillerais pas de désactiver les fonctionnalités de sécurité, mais pour les utilisateurs qui constatent une baisse des performances, la désactivation de pti peut être une option raisonnable, compte tenu de la difficulté à exploiter une attaque contre cette faille de sécurité et la valeur de l'ordinateur / des données cibles. La question est de savoir comment désactiver cette option si je devais désactiver cette option.
Panthère
2
Je conviens que PTI est une fonctionnalité de sécurité pouvant avoir un coût non négligeable. C’est à OP de décider si c’est bon pour eux et en dehors du champ de cette question.
Jake

Réponses:

55

Le correctif (ou "Isolation de table de pages") fera partie d'une mise à jour normale du noyau (que vous obtiendrez lorsque vous mettrez à jour votre système). Cependant, il est vivement recommandé de garder le noyau à jour, car il reçoit également de nombreux correctifs de sécurité. Donc, je ne recommanderais pas simplement d'utiliser un noyau obsolète sans le correctif.

Cependant, vous pouvez effectivement désactiver le correctif en ajoutant pti=off( correctif du noyau ajoutant cette option, avec plus d'informations ) à votre ligne de commande du noyau ( howto ). Notez que cela résultera en un système moins sécurisé.

Il y a plus de tests d'informations et de performances avec PTI activé et désactivé sur la liste de diffusion PostgreSQL - TLDR a un impact sur les performances compris entre 10 et 30% (pour ProstgreSQL, autrement dit, d'autres éléments, tels que les jeux, auront probablement moins d'impact) .

Notez que cela n'affectera que les processeurs Intel, car AMD n'est apparemment pas affecté ( reddit ), de sorte qu'il sera probablement désactivé par défaut sur AMD.

JonasCz - Rétablir Monica
source
2
"... ce sera prévisible être désactivé par défaut sur AMD." Est-ce que cela signifie qu'il y aura une version de noyau supplémentaire pour les systèmes d'exploitation Ubuntu fonctionnant sur des machines équipées d'un processeur AMD fourni par Canonical? :)
cl-netbox
16
Non, le noyau détecte (au démarrage) s'il est exécuté sur un processeur AMD et désactive le correctif si tel est le cas. @ cl-netbox
Rétablir Monica le
1
Selon le site itgister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability, les puces AMD sont affectées par au moins une variété d'attaques de Spectre (injection de cible de branche), de sorte qu'elles obtiendront probablement une mise à jour du noyau affectant les performances cette semaine, aussi, même s'ils ne sont pas soumis à la fusion proprement dite.
Dave Sherohman
1
Apparemment, cette fonctionnalité est dans l'architecture x64, mais pas dans i386 / IA-32.Parce que cela, le correctif n'affecte pas le Linux 32 bits non plus (sécurité / Kconfig nécessite X86_64 pour activer PAGE_TABLE_ISOLATION). cela amène une autre question cependant. Qu'en est-il des machines x64 avec un linux 32 bits installé, peuvent-elles être affectées? Si oui, qu'en est-il des vieilles machines x64 qui sont limitées par le bios pour exécuter uniquement des instructions 32 bits (comme les vieux netbooks à base d’atomes)? sont-ils des canards assis?
thePiGrepper
2
Jusqu'à ce que je sache avec certitude qu'il y avait une attaque basée sur JavaScript, je prévoyais de l'utiliser.
Josué
35

Mise à jour: Deux numéros de surnom ont été attribués à ce problème: Meltdown et Specter . J'ai mis à jour la réponse avec les nouvelles informations.

Ce sera initialement un correctif de noyau. Il apparaîtra comme une version supérieure. Ce sera installé parce que vous avez linux-image-genericinstallé. C'est ce que ce paquet est pour. Donc, vous pouvez enlever linux-image-generic. C'est une idée horrible et désastreuse , qui vous exposera à toutes sortes de problèmes, mais vous pouvez le faire. Il peut également y avoir un microcode de la CPU qui suit linux-firmwarepour un correctif dans la CPU. C'est vraiment sur Intel.

La méthode que vous suivez pour résoudre ce problème n'est pas pertinente. Vous demandez de contourner quelque chose où vous ne connaissez ni l'impact réel du bogue, ni les coûts de performance liés à sa résolution.

  • Le bug est méchant. Les CVE signalés sont des lectures de mémoire croisées. Tout processus pouvant lire la mémoire de tout autre processus. Saisie, mots de passe, le tout. Cela a probablement aussi des implications sur les bacs à sable. Nous en sommes aux premiers jours et je m'attends à ce que les gens poussent plus loin dans cette voie, tant en termes d'impact que d'accès

  • Les performances ne sont probablement pas aussi importantes que vous le craignez. Les chiffres sur lesquels les gens discutent sont axés sur les performances théoriques du sous-système, ou du pire des cas. Une base de données mal mise en cache est ce qui va être le plus durement touché. Les jeux et les activités quotidiennes ne vont probablement pas changer de manière mesurable.

Même maintenant, nous pouvons voir quel est le bogue, il est trop tôt pour dire quel est son impact. Bien que l'accès en lecture libre à la RAM soit mauvais, il y a des choses bien pires. Je testerais également pour voir quel impact le correctif a réellement sur vous (avec ce que vous faites).

Ne commencez pas à pré-charger votre configuration GRUB avec des indicateurs ou à supprimer les méta-packages du noyau pour l'instant.

Oli
source
7
Tout ce que vous avez à faire est d’ajouter pti=offà la ligne de commande du noyau (dans GRUB) pour désactiver le correctif.
JonasCz - Réintégrer Monica le
3
@JonasCz, ce commentaire - si cela est vrai, je ne le sais pas - semble mériter une réponse distincte, surtout si vous pouvez le sauvegarder avec une référence.
Byte Commander
IMHO nopti est un meilleur choix
Panther
3
@ Oli Je suis d'accord avec ce conseil et je me suis donné ailleurs. Cela dit, la question est de savoir comment désactiver cette nouvelle fonctionnalité de sécurité, si vous le souhaitez, et, IMO, nopti est l’option pour le faire.
Panthère
1
Oui, cela a ralenti certaines de mes activités système de 99% lorsque j'utilise des machines virtuelles. La copie des fichiers de l’hôte à la machine virtuelle prenait généralement entre 2 et 3 secondes et prend désormais plus d’une minute.
Rboy
14

Bien que je ne le recommande pas, il est possible de désactiver PTI

avec le paramètre de ligne de commande du noyau nopti

selon Phoronix .

Pour ce faire, ajoutez noptià la chaîne située en regard de la ligne qui commence par GRUB_CMDLINE_LINUX_DEFAULTin /etc/default/grubpuis lancez

sudo update-grub

suivi d'un redémarrage.

Pour plus d'informations sur les paramètres d'amorçage du noyau afin de désactiver les fonctionnalités de sécurité liées aux performances, voir: Spectre et fusion des contrôles d' atténuation dans Ubuntu Wiki

nixpower
source
1
Quelle est la différence entre les paramètres de démarrage du noyau nopti et pti = off ?
Niutech
@nutech il n'y a pas de différence, pour preuve que vous pouvez regarder ici
nixpower
alfonx
3

Manière la plus simple: décocher dans la configuration du noyau

-> Options de sécurité

[] Supprimer le mappage du noyau en mode utilisateur

puis compiler le nouveau noyau

Krzysztof Sk
source
1
Bienvenue sur Ask Ubuntu! Dans sa forme actuelle, votre réponse n’est pas aussi bonne qu’elle pourrait être. Pourriez-vous passer en revue Comment rédiger une bonne réponse et un guide de style pour les questions et les réponses . - De l'avis
J. Starnes
2
Malheureusement, J. Starnes a raison. Vous ne compilez plus votre propre noyau, sauf en dernier recours.
Josué
Il s’agit là d’une modification plutôt triviale des options du noyau, mais IMO noptiest probablement un choix meilleur / plus facile.
Panthère
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.