LINUX.ORG.RU

Помогите проигнорировать патчи против Meltdown и Spectre

 , ,


0

2

У меня задача проигнорировать любые патчи, которые режут производительность.
Помогите разобраться,
1) правильно ли я понимаю, что параметр nopti/pti=no - это игнорирование патчей и соответственно сохранение производительности?
2) Правильно ли я понимаю, что патчи для ядра 4.4 начинаются в с 4.4.0-108-generic?
3) Где на Убунте 14.04 дописать-поправить тот флаг nopti/pti=no?
Заранее благодарен.

★★

можешь уже начинать игнорировать, я разрешаю.

Deleted
()

У меня после обновления ядра ничего не поменялось(проц AMD FX).

Как работал, так и работает, и в GeekBench те же баллы набирает...

fsb4000 ★★★★★
()

параметр nopti/pti=no - это игнорирование патчей

Нет

сохранение производительности

Да

патчи для ядра 4.4 начинаются в с 4.4.0-108-generic

Да, но лучше юзать 4.4.109, в 4.4.108 какой-то косяк был на твоей Ubuntu

Где на Убунте 14.04 дописать-поправить тот флаг nopti/pti=no

/etc/default/grub в GRUB_CMDLINE_LINUX_DEFAULT, после чего выполнить update-grub от рута.

SR_team ★★★★★
()
Ответ на: комментарий от fsb4000

Где-то на лоре видел инфу, что на процах от AMD по дефолту KPTI выключен.

SR_team ★★★★★
()
Ответ на: комментарий от SR_team

У меня сейчас строка выглядит вот так:
GRUB_CMDLINE_LINUX_DEFAULT=«quiet splash»
Как она должна теперь с этим параметром выглядеть?

abbat81 ★★
() автор топика

Не забываем, что AMD уже встроила кое-какие хаки в микрокод. Так что после обновления - держись, нет никаких флагов для отключения. Можно не обновлять микрокод, но это только до поры до времени. Как только обновка окажется в составе БИОСа, в обновлении до более старой версии ядру будет скорее всего отказано. Да и перестать обновлять микрокод в принципе тоже не очень хорошая идея.

gag ★★★★★
()
Последнее исправление: gag (всего исправлений: 1)

Amd в белом листе. Ничего делать не нужно

anonymous
()
Ответ на: комментарий от anonymous_sama

У меня Интел, старое ядро и носкрипт. Никто ничего не украл. А вот замедлитель не нужен.

И вообще, мой ответ касается десктопа:

Q: Почему мейнстримовая IT-пресса не особо паникует про Meltdown/Spectre?

A: Потому, что пароли и прочие чувствительные данные можно украсть и по-другому. С точки зрения защиты системы это ничего не меняет. Не ставь аддоны левые, юзай носкрипт и задай ключ ssh. Всё. Даже можно не ставить замедлитель от вендоров ОС. И еще: не качай левые скрипты или бинарники. Всё как и раньше.

Меня не волнует, что там на серверах, дела серверные меня не касаются. Админы накупят амдшек помощнее на деньги инвесторов и всё.

А вот тормозящий десктопчик нам не нужен и процы нам никто не заменит.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Deleted

Впрочем, и не докажешь, что-то кто-то не крал данные.

Deleted
()
Ответ на: комментарий от Deleted

На десктопе как раз потеря производительности в пределах погрешности. Потом только Postgres похоже серьезно пострадал и хосты для контейнеров (потому-что в целом всегда очень много разного софта запущенно одновременно)

Не ставь аддоны левые, юзай носкрипт

Оно работает например через любой разрешенный тобой javascript, действия ты даже никогда не заметишь, потенциально любое легитимное приложение может эксплуатировать Meltdown.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

На десктопе как раз потеря производительности в пределах погрешности.

Только для каби- и кофелейков. А у меня айви — i7 3770 и 3.40 гигагерцами, но тем не менее, будет тормозить.

потенциально любое легитимное приложение может эксплуатировать Meltdown.

Теоретически, может. Да. Но пока я не наблюдаю массового эксплуатирования этой уязвимости. А еще есть фишинг, да и сам по себе клиентский javascript небезопасен. Можно внедрить в скрипты что угодно. Так что и без мелтдауна хватает опасностей.

Но пока я не наблюдаю массового эксплуатирования этой уязвимости.

Ибо сами злоумышленники могут быть уязвимы, если конечно они не выбирают процы от красных :D

Возможно причина в этом.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Deleted

Но пока я не наблюдаю массового эксплуатирования этой уязвимости.

Потому, что времени прошло всего чуть больше недели.
Ваш Кэп.

PS. Тупым не следует ничего не фиксить, они должны страдать.

anonymous
()
Ответ на: комментарий от anonymous

Потому, что времени прошло всего чуть больше недели.

10 лет ни хрена не было, пусть голожопые теперь ломают голожопых. хехе, через жопаскрипт.

PS. Тупым не следует ничего не фиксить, они должны страдать.

С удовольствием посмотрю как меня, тупого, будут страдать. Я потеряю свою корпорацию, многомиллионные счета. От меня уйдут жена и дети. До чего же страшная уязвимость, рушащая людские судьбы! Ну да, конечно, мне есть что терять.

«Да кому я нужен» (с).

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

А вообще, не думаю, что кому-то интересно мое нытье, бережно сохраненное в кэше ЦП.

Тем более, что содержимое кэша ЦП постоянно обновляется, и найти там мои пароли та еще лотерея.

И еще злоумышленник должен знать на каких я сайтах сижу, а учитывая, что почти все они у меня работают наполовину, то удачи ему пробиться через носкрипт.

Deleted
()
Ответ на: комментарий от Deleted

Разницы нет. Говорю как юзер i7-3517U (Ivy)

да и сам по себе клиентский javascript небезопасен.

Да конечно, без Meltdown у тебя из памяти приватные ключи из памяти не вытащить, а вот с Meltdown вполне.

anonymous_sama ★★★★★
()
Ответ на: комментарий от Deleted

бережно сохраненное в кэше ЦП.

Области памяти попадают в кеш в процессе атаки.

Впрочем, лучше не знать и не беспокоиться. Вероятность, что уведут у тебя, небольшая.

greenman ★★★★★
()
Ответ на: комментарий от anonymous_sama

приватные ключи

Которые я ввожу в память ровно по субботам :)

Deleted
()
26 марта 2018 г.
Ответ на: комментарий от Bruce_Lee

У меня от 8 января cейчас. Исправления в самом ядре: bugs: cpu_meltdown spectre_v1 spectre_v2

anonymous_sama ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

на амд патчи не распространяются.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.