LINUX.ORG.RU

Принудительное включение KPTI в Debian 9

 , ,


2

2

Добрый, сообщество!

Хочу обезопасить свой сервер с виртуалками от Meltdown, поэтому быстренько обноввил свой Jessie до Stretch и накатил последние обновления.

Судя по dmesg, ядро поддерживает KPTI, но оно выключено:

dmesg | grep -i isolation;
[    0.000000] Kernel/User page tables isolation: disable

Об этом же говорит и отсутвие флага cpu_insecure:

cat /proc/cpuinfo | grep bugs;
bugs        : tlb_mmatch fxsave_leak sysret_ss_attrs null_seg amd_e400

В конфиге ядра оно же включено:

uname -a;
Linux host 4.9.0-5-amd64 #1 SMP Debian 4.9.65-3+deb9u2 (2018-01-04) x86_64 GNU/Linux

cat /boot/config-4.9.0-5-amd64 | grep -i table_isolation;
CONFIG_PAGE_TABLE_ISOLATION=y

Возможно, кто-то уже сталкивалсяс таким, или знает как решить или где посмотреть информацию? Сам я что-то через гугл ничего не нашел :(

★★

а проц то какой?

ktk ★★★★ ()

Судя по amd_e400 у тебя процессор от Amd. Значит PTI тебе не нужно включать.

Kron4ek ★★★★★ ()

Да, все верно, сам дурак, у меня AMD:

model name	: AMD Phenom(tm) II X4 965 Processor

В панике не разобрался в деталях))) Тогда надо копать в сторону Spectre, проверить чтобы от него патч был...

Спасибо за информацию!

skyman ★★ ()

А вообще, включать KPTI не нужно совсем, если у вас на сервере не крутится сторонний недоверенный код.

DawnCaster ★★ ()
Ответ на: комментарий от skyman

Тогда надо копать в сторону Spectre, проверить чтобы от него патч был...

А вот с этим все плохо, настолько фундаментальная уязвимость, что патча нет и даже не предвидится. Есть (выпускаются) только патчи на компиляторы, чтобы скомпилировать приложения так, чтобы они были менее подвержены, копанию в них через Spectre. Правда, говорят, что и задействовать эту дыру крайне непросто.

praseodim ★★★★★ ()

Хоть на AMD и не обязательно включать PTI, но если очень хочется то можно передав параметр pti=on при загрузке ядра в конфигурации загрузчика.

feanor ★★★ ()
Ответ на: комментарий от skyman

Phenom 965... Хорошая железка, горячая только немножко. Долго такой был в качестве домашнего сервера, потом десктопа. Потом был продан :)

AlexAT ()
Ответ на: комментарий от AlexAT

Какаха уровня одного ядра от нормального процессора, но при тепловыделении восьми(в разгоне), говорю как владелец.

anonymous ()
Ответ на: комментарий от DawnCaster

Если есть пачка сайтов, например на вордпресе, то появление недоверенного кода на сервере лишь вопрос времени.

Deleted ()
Ответ на: комментарий от AlexAT

Ещё пожалуй напомню, что i7 940 на тот момент стоил в 1.5-2 раза дороже.

AlexAT ()
Ответ на: комментарий от AlexAT

Указанный i7 в полтора раза быстрее, хотя имеет значительно более низкую частоту, если их разогнать, будет полное уничтожение фенома.

anonymous ()
Ответ на: комментарий от anonymous

В десктопных задачах да, 965 был скорее на уровне i7 920 (который и стоил сопоставимо). С i7 940 разница была порядка 30-40% в пользу такового. Но у i7 940, на минутку, TDP был 130W против 125W у 965.

В серверных задачах и при компиляции явное преимущество было у 965. Учитывая 1.5-кратную разницу в ценнике (не считая мат.плат, которые под Intel в те времена были очень дорогими по сравнению с платами под AMD) и TDP ниже, чем у i7 940, выбор для домашнего сервера был очевиден.

Ну уж а оверклокерские проблемы вообще не волновали никогда :)

AlexAT ()
Ответ на: комментарий от AlexAT

Это сервер, мне неизвестно где стоит и какой температуры) Клиент на производительность не жалуется, и это главное)

skyman ★★ ()
Ответ на: комментарий от DawnCaster

Здесь как раз крутится пару виртуалок, так что хотелось включить.

skyman ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.