В процессорах Intel четыре уязвимости

nafanja	# 4 года, 11 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	Шо!? Опять? (с) https://www.youtube.com/watch?v=IjkUGKRUtgc Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

vall	# 4 года, 11 месяцев назад
Темы: 45 Сообщения: 1786 Участник с: 28 марта 2017	vasek …. кроме того, у меня даже не включено обновление микрокода (считаю это лишним) Долго читал тут и здесь. После чего принял решение не обновлять микрокод. А вот отключить НТ на стареньком i7 920 -- вообще не готов. В расчёте на doc )))

vall

# 4 года, 11 месяцев назад

Темы: 45

Сообщения: 1786

Участник с: 28 марта 2017

vasek
…. кроме того, у меня даже не включено обновление микрокода (считаю это лишним)

Долго читал тут и здесь. После чего принял решение не обновлять микрокод.

А вот отключить НТ на стареньком i7 920 -- вообще не готов. В расчёте на doc )))

vasek	# 4 года, 11 месяцев назад (отредактировано 4 года, 11 месяцев назад)
Темы: 47 Сообщения: 11742 Участник с: 17 февраля 2013	vall А вот отключить НТ на стареньком i7 920 – вообще не готов. Как то ради интереса загрузился с параметром nosmt и проработал около недели - разницы не заметил, почитал и … не все так однозначно - есть и плюсы и минусы, все зависит от конкретной ситуации и решаемых задач. Обычные юзеры этого и не заметят. EDIT 1 - неплохая статейка о HT/SMT Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 11 месяцев назад (отредактировано 4 года, 11 месяцев назад)

Темы: 47

Сообщения: 11742

Участник с: 17 февраля 2013

vall
А вот отключить НТ на стареньком i7 920 – вообще не готов.

Как то ради интереса загрузился с параметром nosmt и проработал около недели - разницы не заметил, почитал и … не все так однозначно - есть и плюсы и минусы, все зависит от конкретной ситуации и решаемых задач. Обычные юзеры этого и не заметят.

EDIT 1 - неплохая статейка о HT/SMT

Ошибки не исчезают с опытом - они просто умнеют

zsx	# 4 года, 11 месяцев назад
Темы: 1 Сообщения: 145 Участник с: 08 августа 2018	Начиная с Linux 5.1.2 параметр ядра для обвёртки фольгой процессора теперь может быть только один. mitigations= [X86,PPC,S390,ARM64] Control optional mitigations for CPU vulnerabilities. This is a set of curated, arch-independent options, each of which is an aggregation of existing arch-specific options. off Disable all optional CPU mitigations. This improves system performance, but it may also expose users to several CPU vulnerabilities. Equivalent to: nopti [X86,PPC] kpti=0 [ARM64] nospectre_v1 [PPC] nobp=0 [S390] nospectre_v2 [X86,PPC,S390,ARM64] spectre_v2_user=off [X86] spec_store_bypass_disable=off [X86,PPC] ssbd=force-off [ARM64] l1tf=off [X86] mds=off [X86] auto (default) Mitigate all CPU vulnerabilities, but leave SMT enabled, even if it's vulnerable. This is for users who don't want to be surprised by SMT getting disabled across kernel upgrades, or who have other ways of avoiding SMT-based attacks. Equivalent to: (default behavior) auto,nosmt Mitigate all CPU vulnerabilities, disabling SMT if needed. This is for users who always want to be fully mitigated, even if it means losing SMT. Equivalent to: l1tf=flush,nosmt [X86] mds=full,nosmt [X86]

zsx

# 4 года, 11 месяцев назад

Темы: 1

Сообщения: 145

Участник с: 08 августа 2018

Начиная с Linux 5.1.2 параметр ядра для обвёртки фольгой процессора теперь может быть только один.


mitigations=
                        [X86,PPC,S390,ARM64] Control optional mitigations for
                        CPU vulnerabilities.  This is a set of curated,
                        arch-independent options, each of which is an
                        aggregation of existing arch-specific options.

                        off
                                Disable all optional CPU mitigations.  This
                                improves system performance, but it may also
                                expose users to several CPU vulnerabilities.
                                Equivalent to: nopti [X86,PPC]
                                               kpti=0 [ARM64]
                                               nospectre_v1 [PPC]
                                               nobp=0 [S390]
                                               nospectre_v2 [X86,PPC,S390,ARM64]
                                               spectre_v2_user=off [X86]
                                               spec_store_bypass_disable=off [X86,PPC]
                                               ssbd=force-off [ARM64]
                                               l1tf=off [X86]
                                               mds=off [X86]

                        auto (default)
                                Mitigate all CPU vulnerabilities, but leave SMT
                                enabled, even if it's vulnerable.  This is for
                                users who don't want to be surprised by SMT
                                getting disabled across kernel upgrades, or who
                                have other ways of avoiding SMT-based attacks.
                                Equivalent to: (default behavior)

                        auto,nosmt
                                Mitigate all CPU vulnerabilities, disabling SMT
                                if needed.  This is for users who always want to
                                be fully mitigated, even if it means losing SMT.
                                Equivalent to: l1tf=flush,nosmt [X86]
                                               mds=full,nosmt [X86]

vall	# 4 года, 11 месяцев назад
Темы: 45 Сообщения: 1786 Участник с: 28 марта 2017	zsx Начиная с Linux 5.1.2 параметр ядра Спасибо, интересно.

vasek	# 4 года, 11 месяцев назад (отредактировано 4 года, 11 месяцев назад)
Темы: 47 Сообщения: 11742 Участник с: 17 февраля 2013	zsx теперь может быть только один. Не согласен ... EDIT - уточнение, немного истории После обнаружения Spectre, Meltdown и др. начали затыкать дыры, но при этом падала производительность. Но не все ПАРАНОИКИ (да в принципе и не всегда есть необходимость закрытия этих дыр) … и начали использовать разные параметры для отключения мер по затыку дыр. Один минус - было много параметров, да и трудно их было запомнить все - привожу некоторые из них `pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable` плюс к этому были параметры и для усиления затыка дыр (maximum mitigations) И вот тогда разработчик Red Hat вышел с предложением к обществу - вместо того, чтобы запоминать все эти опции, ввести всего одну опцию (для тех кому это требуется) cpu_spec_mitigations со значениями off/auto/nosmt Поработали ... но посчитали и это плохо запоминающейся опцией и вот тогда предложили наиболее простую - mitigations , что и было сделано в новом ядре ….но оставили другие опции, кому требуется выборочное отключение ... ( вот что будет в дальнейшем, пока не в курсе ) ... PS - а вообще, имхо, все эти уязвимости не касаются простого юзера ... и не нужно быть параноиком, просто нужно понимать, как это может затронуть лично юзера и если это не затрагивает (в чем я убежден на 99%) и если это значительно снижает производительность, то можно все скопом и отключить. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 11 месяцев назад (отредактировано 4 года, 11 месяцев назад)

Темы: 47

Сообщения: 11742

Участник с: 17 февраля 2013

zsx
теперь может быть только один.

Не согласен ...

EDIT - уточнение, немного истории
После обнаружения Spectre, Meltdown и др. начали затыкать дыры, но при этом падала производительность. Но не все ПАРАНОИКИ (да в принципе и не всегда есть необходимость закрытия этих дыр) … и начали использовать разные параметры для отключения мер по затыку дыр.
Один минус - было много параметров, да и трудно их было запомнить все - привожу некоторые из них

pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable

плюс к этому были параметры и для усиления затыка дыр (maximum mitigations)
И вот тогда разработчик Red Hat вышел с предложением к обществу - вместо того, чтобы запоминать все эти опции, ввести всего одну опцию (для тех кому это требуется) cpu_spec_mitigations со значениями off/auto/nosmt
Поработали ... но посчитали и это плохо запоминающейся опцией и вот тогда предложили наиболее простую - mitigations , что и было сделано в новом ядре ….но оставили другие опции, кому требуется выборочное отключение ... ( вот что будет в дальнейшем, пока не в курсе ) ...

PS - а вообще, имхо, все эти уязвимости не касаются простого юзера ... и не нужно быть параноиком, просто нужно понимать, как это может затронуть лично юзера и если это не затрагивает (в чем я убежден на 99%) и если это значительно снижает производительность, то можно все скопом и отключить.

Ошибки не исчезают с опытом - они просто умнеют

zsx	# 4 года, 11 месяцев назад
Темы: 1 Сообщения: 145 Участник с: 08 августа 2018	vasek, в моем утверждении "МОЖЕТ быть", а не "ДОЛЖЕН быть" только 1 (10 разных возможных эквивалентов указаны в описании параметра). И для НЕ ПАРАНОИКОВ тоже удобно.

vasek	# 4 года, 11 месяцев назад
Темы: 47 Сообщения: 11742 Участник с: 17 февраля 2013	zsx, не обижайся - дед не верно понял твою фразу. А вообще очень удобно (не для параноиков) - одной опцией отключить почти все ...... лично мне понравилось, добавил себе mitigations=off Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 11 месяцев назад

Темы: 47

Сообщения: 11742

Участник с: 17 февраля 2013

zsx, не обижайся - дед не верно понял твою фразу.
А вообще очень удобно (не для параноиков) - одной опцией отключить почти все ...... лично мне понравилось, добавил себе mitigations=off

Ошибки не исчезают с опытом - они просто умнеют

zsx	# 4 года, 11 месяцев назад
Темы: 1 Сообщения: 145 Участник с: 08 августа 2018	vasek, всё хорошо. У меня была мысля вчера перед сном, что могут неправильно понять, но как выразиться правильно я тогда не придумал. ))

zsx	# 4 года, 11 месяцев назад
Темы: 1 Сообщения: 145 Участник с: 08 августа 2018	Кстати, сейчас по разным англоязычным ресурсам пошла инфа, что якобы только mitigations=off недостаточно. Например: https://linuxreviews.org/HOWTO_make_Linux_run_blazing_fast_(again)_on_Intel_CPUs https://make-linux-fast-again.com/ Кто-то где-то тоже, наверно, неправильно понял. Или я? )

zsx

# 4 года, 11 месяцев назад

Темы: 1

Сообщения: 145

Участник с: 08 августа 2018

Кстати, сейчас по разным англоязычным ресурсам пошла инфа, что якобы только mitigations=off недостаточно. Например:
https://linuxreviews.org/HOWTO_make_Linux_run_blazing_fast_(again)_on_Intel_CPUs
https://make-linux-fast-again.com/
Кто-то где-то тоже, наверно, неправильно понял. Или я? )