LINUX.ORG.RU

Включены ли у вас патчи безопасности от spectre, meltdown, etc?

 , , , ,


2

1

Безопасность или производительность?

P.S. Пользуясь случаем, хотел бы прорекламировать хорошо находимый сайт, с параметрами для отключения данных патчей: https://make-linux-fast-again.com

  1. Я не знаю413 (57%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Включены все148 (20%)

    ******************************************************************************************************************

  3. Выключены програмно85 (12%)

    *****************************************************************

  4. Не скомпилированы вообще59 (8%)

    *********************************************

  5. Включены выборочно22 (3%)

    *****************

Всего голосов: 727

>>> Проголосовать

По ссылке открылась только одна строка:
noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off Это, как я понял, прописывать где-то надо?

quantum_cat ★☆ ()
Ответ на: комментарий от ozz_is_here_again

Эти опции нужно указать (если grub) в etc/default/grub в строке GRUB_CMDLINE_LINUX, так?

Ну и как рост производительности, есть, или практически разницы нет?

quantum_cat ★☆ ()
Последнее исправление: quantum_cat (всего исправлений: 1)
Ответ на: комментарий от quantum_cat

Эти опции нужно указать (если grub) в etc/default/grub в строке GRUB_CMDLINE_LINUX, так?

Да

Ну и как рост производительности, есть, или практически разницы нет?

Так и не понял, на чём проверить. Есть i3 3110M.

ozz_is_here_again ★★ ()
Ответ на: комментарий от quantum_cat

Это, как я понял, прописывать где-то надо?

Параметры загрузчика для ядра. Например в Ubuntu в /etc/default/grub добавить в GRUB_CMDLINE_LINUX_DEFAULT (потом конечно же sudo update-grub)

Проверить себя можно после перезапуска посмотрев в /proc/cmdline там должны быть все прописанные параметры.

KennyMinigun ★★★★★ ()
Ответ на: комментарий от quantum_cat

Ну и как рост производительности, есть, или практически разницы нет?

Теоретически должен быть. На похорониксе вроди замеряли.

KennyMinigun ★★★★★ ()

Сайт совершенно глупый. В более-менее современных ядрах (а в дистрибутивах - бэкпортировано) поддерживается опция mitigations=off. Которая выключает защиту от уязвимостей, в отличие от масла маслянного с того сайта.

Dimez ★★★★★ ()
Ответ на: комментарий от Dimez

Сайт совершенно глупый.

Думаю, они исходили из соображения, что еще не все имеют ядро с поддержкой mitigations=off. Чтоб везде работало. Неизвестные параметры игнорируются же?

KennyMinigun ★★★★★ ()
Ответ на: комментарий от KennyMinigun

Думаю, они исходили из соображения, что еще не все имеют ядро с поддержкой mitigations=off

Они открыли сайт, когда уже все дистрибутивные ядра стали, я специально даже проверял.

Dimez ★★★★★ ()

Выключены конечно. На linux'е кстати со включенными вообще лаги дикие, десяточка еще хоть как то справляется.

VarfolomeyKote4ka ()

Не скомпилированы вообще

ananas ★★★★★ ()

везде выключены - разницы не вижу и тесты производительности в общей группе показали практически одинаковые результаты! в отдельно взятом случае есть доисторическая матка m2n и проц athlon64 +3800 так вот эта связка даже в journald серет mitigations=off пропиши, хотя по моим расчетам они этому даже не подвержены...

amd_amd ★★ ()
авг 11 07:54:01 maganux kernel: Spectre V2 : Mitigation: Full AMD retpoline
авг 11 07:54:01 maganux kernel: Spectre V2 : Spectre v2 / SpectreRSB mitigation: Filling RSB on context switch
авг 11 07:54:01 maganux kernel: Spectre V2 : mitigation: Enabling conditional Indirect Branch Prediction Barrier
авг 11 07:54:01 maganux kernel: Spectre V2 : User space: Vulnerable
авг 11 07:54:01 maganux kernel: Speculative Store Bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
$ grep mitigations /proc/cmdline
$
saahriktu ★★★★★ ()
Ответ на: комментарий от egorcod

Их кто-то включает?

Пока их не выключиш явно, они ж по умолчанию.

А если вопрос о аудитории ЛОРа, то посмотри выше по треду.

KennyMinigun ★★★★★ ()

ЭЭэээ... Наверно включены, хотя я не в курсе. Да и все равно как-то.

Polugnom ★★★★★ ()

Конечно же «Включены все»: ведь AMD намного менее уязвима,
и раз от этих патчей производительность на AMD практически не страдает (в отличие от «синих») - почему бы и нет?
Да и если бы сидел на Интеле, наверное всё равно бы жил с патчами: ведь безопасность - превыше всего! (хотя c Intel ME какая там безопасность...)

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 2)

spectre, meltdown

это те что на процах от штеуда?

upcFrost ★★★★★ ()

На десктопах выключены, на серверах включены.

King_Carlo ★★★★★ ()
Ответ на: комментарий от upcFrost

это те что на процах от штеуда?

Meltdown – да, а Spectre где только не находили. Правда точнее не скажу: призабыл.

KennyMinigun ★★★★★ ()
Ответ на: комментарий от KennyMinigun

к Spectre у разных процов разная степень уязвимости. Например, AMD уязвимы только к некоторым специфичным вариантам Spectre и урон производительности от патчей для этих вариантов намного ниже. Про степень уязвимости ARM точно не помню, но они вроде как и Intel сильно пострадали

SakuraKun ★★ ()
Ответ на: комментарий от saahriktu

Ты лучше похвались выхлопом:
grep -R vulnerable /sys/devices/system/cpu/vulnerabilities

imul ★★★★★ ()

Ядро спецом не патчил. Что прилетает с обновами в арч, то и есть. Что-то есть, чего-то нет. Особо не заморачиваюсь, т.к. комп домашний и ломать меня смысла нет.

drfaust ★★★★★ ()

Я должен написать, что при установке ЛЮБОГО Linux дистра, должна появлятся галочка или меню для отключения этих патчей по выбору. На некоторых машинах (ноутбуках) эта заshitа способна уменьшить производительность на 15-20%.

Skullnet ★★ ()

arch во время очередного обновления был создан grub.pacnew в котором вместо mitigations=0ff значилось loglevel=3 и теперь ядро стартует с этим параметром, при попытке запуска без loglevel=3 машина начинает одним ядром шпарить в 100% и адово тупить

amd_amd ★★ ()

На десктопе не знаю, на серверах всё что можно выключено.

slovazap ★★★★★ ()

https://make-linux-fast-again.com

Блин, сколько-же уязвимостей из этого семейства уже развелось (судя по количеству параметров). А всё так хорошо начиналось ...

DawnCaster ()

По умолчанию наверное включены, но у меня AMD, я уже и забыл про эту хрень всю. Вписал в параметры ядра выключатели, надеюсь будет плацебо эффект и мне покажется что анимации гнома станут плавнее и компиляция будет быстрее. Хоть какая-то да приятность. Но скорее всего я тупо забуду про всё это )))))))))

Короче я всё отключил - ломайте меня полностью :D

LINUX-ORG-RU ()
Ответ на: комментарий от ozz_is_here_again

Но зачем

У меня тоже включены. Не зачем, а потому что из коробки. Пердолиться с выключением лень, да и нет такой необходимости.

PS: где пункт «мне пох»?

no-such-file ★★★★★ ()

Собственно на основном компе у меня cortex A-53 и ядро 4.4.50. Сам проц малоуязвим к этим атакам и нах никому не сдался, а в эту версию ядра никаких патчей не завезли.

Но на ноуте с дебианом 9 и ядром 4.9 вполне могут быть патчи. Вот только падения производительности я не заметил, а оно говорят очень чувствуется на интелах времени коре2.

kirill_rrr ★★★★★ ()
Ответ на: комментарий от King_Carlo

А ваши кредитные карты привязаны к браузерам на сервере?

kirill_rrr ★★★★★ ()
Ответ на: комментарий от kirill_rrr

У меня нет кредитных карт, только дебетовые ) и я не распарсил чего ты хотел сказать.

King_Carlo ★★★★★ ()

А как узнать-то, собственно? ссылочки на exploit будут?

BattleCoder ★★★★★ ()

у меня кактус около монитора, он защитит от всего, что я выключил в ядре

bernd ★★★★★ ()

А есть примеры реального использования этих уязвимостей? Или только паника и сопли?

IPR ★★★★★ ()
Ответ на: комментарий от IPR

А есть примеры реального использования этих уязвимостей? Или только паника и сопли?

Вместо того, чтобы придумывать, как выпустить новые более быстрые процессоры, мы замедлим уже существующие, а в качестве новых моделей выпустим текущие, но без брешей, заплатки к которым замедляют проц.

beaver ()
Ответ на: комментарий от King_Carlo

На десктопе тоже бывают данные, которые надо защитить от утечки.

kirill_rrr ★★★★★ ()

Включены все патчи. Я на своем мобильном core i7 и kde не вижу разницы между тем что было до патчей и что теперь.

rumgot ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)