LINUX.ORG.RU
решено ФорумTalks

Каким образом можно отключить патчи на уязвимости Foreshadow и Spectre-1?

 ,


0

4

Наверняка обсуждалось много раз, но что-то конкретного ответа найти не получается.

Есть один Debian на локалхосте c ядром 4.18. Встал вопрос об отключении патчей на, так называемые, CPU-vulnerabilities. В документации на само ядро есть только следующие параметры:

nopti - Meltdown
nospectre_v2 - и так понятно
nospec_store_bypass_disable - Spectre 3a и Spectre 4
ssbd=force-off - то же самое что и выше, но для ARM
l1tf=off - Foreshadow

Однако же после их применения
cat /sys/devices/system/cpu/vulnerabilities/*
все равно говорит, что:
l1tf - Mitigation: PTE Inversion
spectre_v1 - Mitigation: __user pointer sanitization

Чуть позже нашел в документации строчку вида «The kernel PTE inversion protection is unconditionally enabled and cannot be disabled.» Ну ладно, «низзя так низзя». А по Spectre-1 вообще ничего нет. Хоть на разного рода ресурсах и высказываются в том духе, что правки для Foreshadow и Spectre-1 не влияют на производительность, все равно хотелось бы выключить всю эту «кухню» разом и больше к этому вопросу не возвращаться. Так как же их все таки выключить? Есть ли возможность собрать ядро без всего вот этого?

Спасибо за внимание.

1. man git. Найти эти патчи и отменить, если это вообще возможно. После чего пересобрать ядро. Повторять это каждый раз с его новой версией.

2. Использовать параметры загрузки, которые ты указал.

3. Перейти на AMD.

Gonzo ★★★★★ ()
Ответ на: комментарий от Gonzo

Спасибо за отзыв.

Найти эти патчи и отменить

Хе-хе. Это затратно по времени. Вот как раз по первому пункту интересно и было - пытался ли кто из знающих людей.

Причины «захардкодить» наверняка были, но все равно этот момент вызывает раздражение. А пока что, из закромов было извлечено ядро 4.14.0, где есть только PTI, которая выключается без особых проблем.

Yaroslav_cpp ()
Ответ на: комментарий от Gonzo

Да ничего не случилось еще. Пока что. Как только на той машине начнут играться с PostgreSQL - понаблюдаю за реакцией.

Мне вот этого вполне достаточно, чтобы относиться к этим фиксам скептически; впрочем, как и к уязвимостям, вокруг которых, в январе-феврале, было столько шуму.

Yaroslav_cpp ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.