เนื่องจากปัญหาด้านความปลอดภัยของ Intel CPU ในปัจจุบันมีแพตช์ที่คาดว่าจะทำให้ประสิทธิภาพของระบบช้าลง
ฉันจะแน่ใจได้อย่างไรว่าแพทช์นี้จะไม่ถูกติดตั้งบนระบบ Ubuntu ของฉัน
เนื่องจากปัญหาด้านความปลอดภัยของ Intel CPU ในปัจจุบันมีแพตช์ที่คาดว่าจะทำให้ประสิทธิภาพของระบบช้าลง
ฉันจะแน่ใจได้อย่างไรว่าแพทช์นี้จะไม่ถูกติดตั้งบนระบบ Ubuntu ของฉัน
คำตอบ:
โปรแกรมปรับปรุง (aka "การแยกตารางหน้า") จะเป็นส่วนหนึ่งของการอัปเดตเคอร์เนลปกติ (ซึ่งคุณจะได้รับเมื่อคุณอัปเดตระบบ) อย่างไรก็ตามขอแนะนำให้รักษาเคอร์เนลให้ทันสมัยอยู่เสมอเพราะมันยังได้รับการแก้ไขด้านความปลอดภัยอื่น ๆ อีกมากมาย ดังนั้นฉันจะไม่แนะนำเพียงแค่ใช้เคอร์เนลที่ล้าสมัยโดยไม่มีการแก้ไข
อย่างไรก็ตามคุณสามารถปิดการใช้งานโปรแกรมแก้ไขได้อย่างมีประสิทธิภาพโดยการเพิ่มpti=off
( เพิ่มตัวเลือกเคอร์เนลเพิ่มตัวเลือกนี้พร้อมข้อมูลเพิ่มเติม ) ในบรรทัดคำสั่งเคอร์เนลของคุณ ( howto ) โปรดทราบว่าการทำเช่นนี้จะส่งผลให้ระบบมีความปลอดภัยน้อยลง
มีข้อมูลเพิ่มเติมและการทดสอบประสิทธิภาพด้วยการเปิดใช้งานและปิดใช้งาน PTI ในรายการส่งเมล PostgreSQL - TLDR คือมีผลกระทบระหว่าง 10 ถึง 30% (สำหรับ ProstgreSQL นั่นคือ - สิ่งอื่น ๆเช่นเกมอาจจะเห็นผลกระทบน้อยกว่า) .
โปรดทราบว่าสิ่งนี้จะส่งผลกระทบต่อโปรเซสเซอร์ของ Intel เท่านั้นเนื่องจาก AMD ไม่ได้รับผลกระทบ ( reddit ) ดังนั้นสิ่งนี้จะถูกปิดใช้งานโดยค่าเริ่มต้นบน AMD
UPDATE:ประเด็นที่ได้รับการจับคู่ของ monikers: การล่มสลายและอสุรกาย ฉันได้อัปเดตคำตอบด้วยข้อมูลใหม่แล้ว
มันจะเป็น patch kernel ในตอนแรก มันจะแสดงเป็นเวอร์ชันที่สูงกว่า มันจะถูกติดตั้งเพราะคุณได้linux-image-generic
ติดตั้งแล้ว นั่นคือสิ่งที่แพคเกจนั้นมีไว้สำหรับ linux-image-generic
ดังนั้นคุณสามารถลบ มันเป็นความคิดที่น่ากลัวและหายนะที่จะทำให้คุณต้องเจอกับความร้ายกาจทุกประเภทแต่คุณสามารถทำได้ มีอาจจะยังเป็นเฟิร์มแว CPU ที่เป็นไปตามในlinux-firmware
การแก้ไขปัญหาในซีพียู นั่นเป็นเรื่องจริงของ Intel
วิธีการที่คุณทำตามเพื่อยกเลิกการแก้ไขไม่เกี่ยวข้อง คุณกำลังขอให้ข้ามบางสิ่งบางอย่างที่คุณรู้ว่าไม่มีผลกระทบที่แท้จริงของข้อบกพร่องหรือค่าใช้จ่ายในการแก้ไข
ข้อผิดพลาดเป็นสิ่งที่น่ารังเกียจ CVE ที่รายงานคือการอ่านหน่วยความจำข้ามกระบวนการ กระบวนการใด ๆ ที่สามารถอ่านหน่วยความจำของกระบวนการอื่น ๆ ได้ ใส่รหัสผ่านมากทั้ง สิ่งนี้น่าจะมีผลกับกล่องทรายด้วยเช่นกัน มันเป็นวันแรกและฉันคาดหวังให้ผู้คนผลักดันเรื่องนี้ต่อไปทั้งในเรื่องผลกระทบและการเข้าถึง
โอกาสที่ผลประกอบการจะออกมาไม่ใหญ่เท่าที่คุณกังวล ผู้คนจำนวนมากมุ่งเน้นไปที่ประสิทธิภาพของระบบย่อยตามทฤษฎีหรือกรณีที่แย่ที่สุด ฐานข้อมูลที่แคชไม่ดีคือสิ่งที่จะได้รับผลกระทบมากที่สุด การเล่นเกมและสิ่งต่าง ๆ ในแต่ละวันมีแนวโน้มว่าจะไม่เปลี่ยนแปลงอย่างแน่นอน
แม้ตอนนี้เราสามารถเห็นได้ว่าข้อผิดพลาดจริงคืออะไรมันเร็วเกินไปที่จะบอกว่าผลกระทบคืออะไร ในขณะที่การเข้าถึง RAM แบบอ่านฟรีไม่ดีมีสิ่งที่เลวร้ายกว่าอยู่ที่นั่น ฉันยังทดสอบเพื่อดูว่าการแก้ไขนั้นส่งผลกระทบต่อคุณเพียงใด (กับสิ่งที่คุณทำ)
อย่าเริ่มต้นโหลด GRUB ของคุณล่วงหน้าด้วยการตั้งค่าสถานะหรือลบแพ็คเกจ Kernel meta
pti=off
ไปยังบรรทัดคำสั่งเคอร์เนล (ในด้วง) เพื่อปิดการใช้งานแพทช์
แม้ว่าฉันจะไม่แนะนำสิ่งนี้ แต่ก็เป็นไปได้ที่จะปิดใช้งาน PTI
ด้วยพารามิเตอร์บรรทัดคำสั่งเคอร์เนลnopti
การทำเช่นนี้ผนวกnopti
กับสตริงที่อยู่ถัดจากบรรทัดที่เริ่มต้นด้วยGRUB_CMDLINE_LINUX_DEFAULT
ใน/etc/default/grub
แล้ววิ่ง
sudo update-grub
ตามมาด้วยการรีสตาร์ท
ข้อมูลเพิ่มเติมเกี่ยวกับพารามิเตอร์การบูตเคอร์เนลเพื่อปิดใช้งานคุณลักษณะด้านความปลอดภัยที่เกี่ยวข้องกับประสิทธิภาพโปรดดูที่: Spectre & Meltdown MitigationControls ใน Ubuntu Wiki
เพิ่มต่อไปนี้ในตอนท้ายของอาร์กิวเมนต์เคอร์เนลของคุณในด้วง: -
spectre_v2 = ปิด nopti pti = off
พารามิเตอร์ของเคอร์เนลมีการอธิบายไว้ที่: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls
วิธีที่ง่ายที่สุด: ยกเลิกการเลือกในการกำหนดค่าเคอร์เนล
-> ตัวเลือกความปลอดภัย
[] ลบการแมปเคอร์เนลในโหมดผู้ใช้
จากนั้นคอมไพล์เคอร์เนลใหม่
nopti
น่าจะเป็นตัวเลือกที่ดีกว่า / ง่ายกว่าสำหรับส่วนใหญ่