LINUX.ORG.RU
ГолосованияГолосования

Включены ли у вас патчи безопасности от spectre, meltdown, etc?

 , , , ,


2

1

Безопасность или производительность?

P.S. Пользуясь случаем, хотел бы прорекламировать хорошо находимый сайт, с параметрами для отключения данных патчей: https://make-linux-fast-again.com

  1. Я не знаю 413 (57%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Включены все 148 (20%)

    ******************************************************************************************************************

  3. Выключены програмно 85 (12%)

    *****************************************************************

  4. Не скомпилированы вообще 59 (8%)

    *********************************************

  5. Включены выборочно 22 (3%)

    *****************

Всего голосов: 727

★★★★★

Проверено: Shaman007 ()

1 2 3

Конечно же выключены

Deleted
()

По ссылке открылась только одна строка:
noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off Это, как я понял, прописывать где-то надо?

quantum_cat ★☆
()
Ответ на: комментарий от Deleted

Эти опции нужно указать (если grub) в etc/default/grub в строке GRUB_CMDLINE_LINUX, так?

Ну и как рост производительности, есть, или практически разницы нет?

quantum_cat ★☆
()
Последнее исправление: quantum_cat (всего исправлений: 1)
Ответ на: комментарий от quantum_cat

Эти опции нужно указать (если grub) в etc/default/grub в строке GRUB_CMDLINE_LINUX, так?

Да

Ну и как рост производительности, есть, или практически разницы нет?

Так и не понял, на чём проверить. Есть i3 3110M.

Deleted
()
Ответ на: комментарий от quantum_cat

Это, как я понял, прописывать где-то надо?

Параметры загрузчика для ядра. Например в Ubuntu в /etc/default/grub добавить в GRUB_CMDLINE_LINUX_DEFAULT (потом конечно же sudo update-grub)

Проверить себя можно после перезапуска посмотрев в /proc/cmdline там должны быть все прописанные параметры.

KennyMinigun ★★★★★
() автор топика
Ответ на: комментарий от quantum_cat

Ну и как рост производительности, есть, или практически разницы нет?

Теоретически должен быть. На похорониксе вроди замеряли.

KennyMinigun ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Сайт совершенно глупый.

Думаю, они исходили из соображения, что еще не все имеют ядро с поддержкой mitigations=off. Чтоб везде работало. Неизвестные параметры игнорируются же?

KennyMinigun ★★★★★
() автор топика
Ответ на: комментарий от KennyMinigun

Думаю, они исходили из соображения, что еще не все имеют ядро с поддержкой mitigations=off

Они открыли сайт, когда уже все дистрибутивные ядра стали, я специально даже проверял.

Deleted
()

Выключены конечно. На linux'е кстати со включенными вообще лаги дикие, десяточка еще хоть как то справляется.

Deleted
()

Не скомпилированы вообще

ananas ★★★★★
()

везде выключены - разницы не вижу и тесты производительности в общей группе показали практически одинаковые результаты! в отдельно взятом случае есть доисторическая матка m2n и проц athlon64 +3800 так вот эта связка даже в journald серет mitigations=off пропиши, хотя по моим расчетам они этому даже не подвержены...

amd_amd ★★★★★
() 
авг 11 07:54:01 maganux kernel: Spectre V2 : Mitigation: Full AMD retpoline
авг 11 07:54:01 maganux kernel: Spectre V2 : Spectre v2 / SpectreRSB mitigation: Filling RSB on context switch
авг 11 07:54:01 maganux kernel: Spectre V2 : mitigation: Enabling conditional Indirect Branch Prediction Barrier
авг 11 07:54:01 maganux kernel: Spectre V2 : User space: Vulnerable
авг 11 07:54:01 maganux kernel: Speculative Store Bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp

$ grep mitigations /proc/cmdline
$
saahriktu ★★★★★
()
Ответ на: комментарий от egorcod

Их кто-то включает?

Пока их не выключиш явно, они ж по умолчанию.

А если вопрос о аудитории ЛОРа, то посмотри выше по треду.

KennyMinigun ★★★★★
() автор топика

ЭЭэээ... Наверно включены, хотя я не в курсе. Да и все равно как-то.

Polugnom ★★★★★
()

Конечно же «Включены все»: ведь AMD намного менее уязвима,
и раз от этих патчей производительность на AMD практически не страдает (в отличие от «синих») - почему бы и нет?
Да и если бы сидел на Интеле, наверное всё равно бы жил с патчами: ведь безопасность - превыше всего! (хотя c Intel ME какая там безопасность...)

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 2)
Ответ на: комментарий от upcFrost

это те что на процах от штеуда?

Meltdown – да, а Spectre где только не находили. Правда точнее не скажу: призабыл.

KennyMinigun ★★★★★
() автор топика
Ответ на: комментарий от KennyMinigun

к Spectre у разных процов разная степень уязвимости. Например, AMD уязвимы только к некоторым специфичным вариантам Spectre и урон производительности от патчей для этих вариантов намного ниже. Про степень уязвимости ARM точно не помню, но они вроде как и Intel сильно пострадали

SakuraKun ★★★★★
()

Ядро спецом не патчил. Что прилетает с обновами в арч, то и есть. Что-то есть, чего-то нет. Особо не заморачиваюсь, т.к. комп домашний и ломать меня смысла нет.

drfaust ★★★★★
()

Я должен написать, что при установке ЛЮБОГО Linux дистра, должна появлятся галочка или меню для отключения этих патчей по выбору. На некоторых машинах (ноутбуках) эта заshitа способна уменьшить производительность на 15-20%.

Skullnet ★★★★★
()

arch во время очередного обновления был создан grub.pacnew в котором вместо mitigations=0ff значилось loglevel=3 и теперь ядро стартует с этим параметром, при попытке запуска без loglevel=3 машина начинает одним ядром шпарить в 100% и адово тупить

amd_amd ★★★★★
()

На десктопе не знаю, на серверах всё что можно выключено.

slovazap ★★★★★
()

https://make-linux-fast-again.com

Блин, сколько-же уязвимостей из этого семейства уже развелось (судя по количеству параметров). А всё так хорошо начиналось ...

DawnCaster ★★
()

По умолчанию наверное включены, но у меня AMD, я уже и забыл про эту хрень всю. Вписал в параметры ядра выключатели, надеюсь будет плацебо эффект и мне покажется что анимации гнома станут плавнее и компиляция будет быстрее. Хоть какая-то да приятность. Но скорее всего я тупо забуду про всё это )))))))))

Короче я всё отключил - ломайте меня полностью :D

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от Deleted

Но зачем

У меня тоже включены. Не зачем, а потому что из коробки. Пердолиться с выключением лень, да и нет такой необходимости.

PS: где пункт «мне пох»?

no-such-file ★★★★★
()

Собственно на основном компе у меня cortex A-53 и ядро 4.4.50. Сам проц малоуязвим к этим атакам и нах никому не сдался, а в эту версию ядра никаких патчей не завезли.

Но на ноуте с дебианом 9 и ядром 4.9 вполне могут быть патчи. Вот только падения производительности я не заметил, а оно говорят очень чувствуется на интелах времени коре2.

kirill_rrr ★★★★★
()

А как узнать-то, собственно? ссылочки на exploit будут?

BattleCoder ★★★★★
()

у меня кактус около монитора, он защитит от всего, что я выключил в ядре

bernd ★★★★★
()

А есть примеры реального использования этих уязвимостей? Или только паника и сопли?

IPR ★★★★★
()
Ответ на: комментарий от IPR

А есть примеры реального использования этих уязвимостей? Или только паника и сопли?

Вместо того, чтобы придумывать, как выпустить новые более быстрые процессоры, мы замедлим уже существующие, а в качестве новых моделей выпустим текущие, но без брешей, заплатки к которым замедляют проц.

beaver
()
Ответ на: комментарий от King_Carlo

На десктопе тоже бывают данные, которые надо защитить от утечки.

kirill_rrr ★★★★★
()

Включены все патчи. Я на своем мобильном core i7 и kde не вижу разницы между тем что было до патчей и что теперь.

rumgot ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
Голосования