LINUX.ORG.RU

Arch Linux отключить патчи на Meltdown & Co.

 , ,


6

2

Все это время жил без патчей, обновлял систему без обновления ядра.

Появился новый ЖД, планирую переустановку. Но патчи влияющие на скорость работы мне по прежнему нужно держать отключенными.

Статья Kernel на Arch Wiki не помогла. Гугл выявляет только следы страха, секьюрити фричество и успокаивающих друг друга голубков.

Единственное что нашел: set kernel boot options:

pti=off
spectre_v2=off

spectre_v1 тоже можно выключить? Это все что нужно будет прописать в boot options? И где вообще эти kernel boot options?

Или проще поставить старое ядро? У меня сейчас стоит: 14.4.8-1.

Deleted

Ответ на: комментарий от anonymous

Попробую на досуге, чем это мне грозит? В интернете говорят просят перформанс то, родненький.

anonymous ()
Ответ на: комментарий от Kron4ek

список параметров для отключения всех заплаток

по-прежнему актуален? Добавилось чего? Собираю систему на года (буквально) сейчас себе, а cmdline нужно вписывать в конфиг ядра, т.к. загрузчик не использую, по-прежнему норм список?

Спасибо.

anonymous ()
Ответ на: комментарий от anonymous

Актуален, больше ничего не добавлялось. Более того, я потом узнал, что некоторые параметры лишние. Так что полный список параметров на данный момент такой:

nopti nospectre_v2 l1tf=off nospec_store_bypass_disable

Kron4ek ★★★★★ ()

Начиная с Linux 5.1.2 (судя по changelog'у) все заплатки можно отключить разом одним параметром:

mitigations=off
Наконец-то удобно сделали.

В LTS ядра (4.9.176; 4.14.119; 4.19.43) и стабильное 5.0.16 этот параметр так же добавили.

Kron4ek ★★★★★ ()
Последнее исправление: Kron4ek (всего исправлений: 1)
Ответ на: комментарий от Kron4ek

раньше вроде как то так надо было

nopti nospectre_v2 l1tf=off no_stf_barrier nospec_store_bypass_disable noibrs noibpb
но вот так

mitigations=off

значительно лучше, а как можно проверить полученый результат - какая нибудь команда которая наглядно подтвердит отключение заплаток

sudo dmesg | grep "Command line:"
не предлагать

amd_amd ★★★★ ()
Ответ на: комментарий от amd_amd

раньше вроде как то так надо было

Да, раньше так было, что не очень удобно.

а как можно проверить полученый результат

Такой командой можно проверить:

grep -R . /sys/devices/system/cpu/vulnerabilities
Если заплатки выключены, там везде (ну, кроме одной-двух позиций) должно быть написано «Vulnerable».

Kron4ek ★★★★★ ()
Последнее исправление: Kron4ek (всего исправлений: 1)
Ответ на: комментарий от Kron4ek

там везде (ну, кроме одной-двух позиций) должно быть написано «Vulnerable»

/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable, STIBP: disabled
/sys/devices/system/cpu/vulnerabilities/mds:Not affected
/sys/devices/system/cpu/vulnerabilities/l1tf:Not affected
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Not affected
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
amd_amd ★★★★ ()
Ответ на: комментарий от Kron4ek

athlon II X2 270 зверь с али за 500 рублей - 2 ядра по 3.5 Ггц

amd_amd ★★★★ ()
Ответ на: комментарий от amd_amd

у меня тоже всё отлично, я пробовал отключать, только тогда производительность проседает

/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, STIBP: disabled, RSB filling
anonymous ()
Ответ на: комментарий от anonymous

пробовал отключать, только тогда производительность проседает

и у меня проседает! не пойму что за фигня? должна же расти!

amd_amd ★★★★ ()
Ответ на: комментарий от amd_amd

Так переписали видимо, заодно оптимизировали чтобы не так заметны просадки были. В венде тоже отключение защит просаживает на попугаи в разных тестах.

anonymous ()

Собрал небольшой список регистрантов, уязвимых к Meltdown. Пригодится. Спасибо. Жаль, мало народу отписалось.

anonymous ()
Ответ на: комментарий от curufinwe

Я удивлен что первые два в бане. Только недавно видел их живыми

Deleted ()
Ответ на: комментарий от madcore

отключить не льзя.

Прости, что заостряю. Но теперь я не могу это развидеть. А тред весь эпичный, да

Deleted ()
Ответ на: комментарий от Deleted

Чего ты там заостряешь? А то я сейчас затупляю.

madcore ★★★★★ ()

Тред полная чушь. На самом деле нужно пересобрать из исходников ядро, а возможно и другой софт с отключенным харденингом.

anonymous ()
Ответ на: комментарий от anonymous

Тред полная чушь. На самом деле нужно пересобрать из исходников ядро, а возможно и другой софт с отключенным харденингом.

Если это так, тогда нахрена эти переключалки тогда?

И в 2k20 уже есть адекватные бенчи по сабжу?

anonymous ()
Ответ на: комментарий от anonymous

нахрена эти переключалки тогда?

Чтобы отключать то, что можно отключить без пересборки «на лету».

anonymous ()
Ответ на: комментарий от anonymous

Ну и плюс заплатки уже добавлены в микрокод и в железо, так что нужно ещё даунгрейдить биосы, а с железными ничего не сделаешь, но они не должны так просаживать производительность.

anonymous ()
Ответ на: комментарий от anonymous

добавлены в микрокод и в железо, так что нужно ещё даунгрейдить биосы,

То есть подобных флагов для микрогода нет?

А сложно вообще перекомпилять ядро без заплаток?

Вообще хочу в секту быстроядерщиков. Я верю, что такие есть, просто скрываются, ибо должны скрываться.

anonymous ()

Систему-то как раз не обязательно переустанавливать. Просто с помощью tar сделать копию корня и разархивировать на новый диск, установить граб и работать. ЗЫ: знаю, что некропостинг :)

anti_win ★★ ()
Ответ на: комментарий от anonymous

То есть подобных флагов для микрогода нет?

Параметры ядра noibrs и noibpb отключают, собственно, ibrs и ibpb, которые были добавлены в микрокод.

Хотя, вполне возможно, что в микрокоде есть какие-то дополнительные заплатки, которые нельзя отключить параметрами ядра.

Kron4ek ★★★★★ ()
Последнее исправление: Kron4ek (всего исправлений: 1)
Ответ на: комментарий от anonymous

но они не должны так просаживать производительность

Но они просаживают почти как программные.

anonymous ()
Ответ на: комментарий от anonymous

Там мобильный айслейк, 10900X, 9900-KS(в обратном порядке) вышли с разным уровнем аппаратных заплаток, а у тебя там старый проц и статья 2018года.

anonymous ()
Ответ на: комментарий от anonymous

Действительно ясно, что ты просто решил набросить на уровне паяца.

anonymous ()

скажиты што пропесать чтобы луникс работал в реальном режиме для реальных пацанов в натуре

а то понапредумывали кучу всяких тормозных рингов и даже не используют их все

anonymous ()
Ответ на: комментарий от anti_win

скажем, из 12

Конечно, тогда uefi уже был в ходу. Даже если у тебя более старый хлам, то вместо грубо-блоатвари есть syslinux.

anonymous ()
Ответ на: комментарий от anti_win

В 11 году вышел сандибридж, который был [b]только[/b] с uefi. Амд чипсеты тех времён тоже шли только с uefi. Так что у тебя использование железа 2007 года в 2012.

anonymous ()
Ответ на: комментарий от anonymous

Это не значит, что юэфи был повсеместно распространен. Хорошо, комп 10 года — так устроит?

anti_win ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.