Без потери производительности в ущерб безопасности: какую версию ядра/микрокода использовать?

Ядро любое, в конфиге только отключи Retpoline, KPTI. Микрокод любой, выпущенный до 2018.01.

спасибо, реально производительность падает, да?

Ну, у себя по ощущениям не замечал, но у меня юзкейс - серфинг да иногда игрульки. Но фиксы все равно вырубил, ибо на домашнем ПК на фиг не нужны. Но по бенчмаркам - однозначно падает раза в 1.5-2, особенно I/O.

Если микрокод свежий поставить, то значительно упадет производительность? Он ведь только Spectre v2 исправляет, если я правильно понял.

CONFIG_CPU_ISOLATION

можно оставить, да? Ввели начиная с 4.15, но вроде к сабжу не имеет отношения.

жесть, а это что вообще без пояснения и комментариев?

CONFIG_GENERIC_CPU_VULNERABILITIES=y

На данный момент отключил:

# CONFIG_RETPOLINE is not set
# CONFIG_PAGE_TABLE_ISOLATION is not set

CONFIG_GENERIC_CPU_VULNERABILITIES=y

Наверное нафиг с конфига: https://lkml.org/lkml/2018/1/7/234

Не знаю как на линуксе, но на печатных машинках в Windows падает знатно. Благо, отрубается правкой реестра

Наверное нафиг с конфига: https://lkml.org/lkml/2018/1/7/234

а он с menuconfig не отключается, пусть поживёт пока.

CONFIG_CPU_ISOLATION
можно оставить, да? Ввели начиная с 4.15, но вроде к сабжу не имеет отношения.

Я оставил, так как тоже не увидел связи с этими уязвимостями.

CONFIG_GENERIC_CPU_VULNERABILITIES=y

Это, скорее всего, добавляет строчку в /proc/cpuinfo

bugs		: cpu_meltdown spectre_v1 spectre_v2

# CONFIG_RETPOLINE is not set
# CONFIG_PAGE_TABLE_ISOLATION is not set

Все правильно.

Кстати, если собираешься только проверенное ПО запускать, можешь еще отключить Kernel Randomisation, всяческие Harden опции (как, например, CONFIG_HARDENED_USERCOPY). Хотя, вряд ли у них большое влияние на производительность.

Если микрокод свежий поставить, то значительно упадет производительность? Он ведь только Spectre v2 исправляет, если я правильно понял.

Да, он исправляет только Spectre v2 (плюс еще со стороны ядра должны быть фиксы). Честно, я не ставил ни одного микрокода, выпущенного начиная с 2018.01, поэтому не знаю насколько сильно упадет производительность из-за, собственно, микрокода. Но кто знает насколько грязные хаки там использует Intel? Ситуация такова, что самым сильным источником просадки сейчас является KPTI - фикс для Meltdown.

Узнаешь, когда в следующий раз обновишь BIOS/UEFI. ;-)

На оффтопике на Atom 2740 вот сильно заметно.

Узнаешь, когда в следующий раз обновишь BIOS/UEFI. ;-)

В том то и дело что я специально не обновляю BIOS/UEFI. Поэтому не узнаю :)

Похожая тема была здесь - Помогите проигнорировать патчи против Meltdown и Spectre

думаю, если ты добавишь nopti или pti=no к опциям загрузки ядра Linux (например дописать в конфигурацию GRUB) то бОльшая часть патчей, устраняющих аппаратную уязвимость процессоров интел, должна быть неактивна и соответственно производительность сохраняется

Допишу в CONFIG_CMDLINE, спасибо.

nopti работает, только если ты в конфиге ядра не отрубаешь CONFIG_PAGE_TABLE_ISOLATION.

Также есть опция nospectre_v2 для отключения RETPOLINE. Но в твоем случае это не нужно.

Спасибо.