опция speculative_store_bypass_disable где она?

Sabayon, Calculate, Funtoo, Exherbo

Модератор: /dev/random

azsx
Сообщения: 2426
ОС: calculate linux, debian, ubuntu

опция speculative_store_bypass_disable где она?

Сообщение azsx » 22.05.2018 21:18

В теме [ON] Раскрыты две новые уязвимости механизма спекулятивного выполнения в CPU
я прочитал
в исправлении для ядра Linux предусмотрена опция speculative_store_bypass_disable, позволяющая отключить защиту
Как это понимаю я. Можно поставить какую то опцию и мне не будут ставиться какие то обновления, которые снизят производительность моего компьютера в угоду безопасности.
Вопрос.
Скажите, пожалуйста, что это за опция? Что и куда надо написать?
Может есть ещё какие то настройки по этому классу проблем?
Мне больше нужна производительность, чем борьба за приватность процесорного кеша.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7531
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: опция speculative_store_bypass_disable где она?

Сообщение serzh-z » 22.05.2018 22:07

Это параметр загрузки ядра. По умолчанию выставлен в "auto" и работает только (если ядро так решит, в зависимости от модели процессора и своего конфига) для приложений, запущенных в режиме изоляции seccomp (современные браузеры, Firejail и прочие песочницы). Кстати, на самом деле параметр называется "spec_store_bypass_disable".

Стоит ли включать (ставить в "on", а если точнее - отключать SSB) этот параметр для всех приложений - большой вопрос.

Если пофиг на проблему и важна скорость, то можно явно выставить в "off".

P.S.: а ещё можно не обновлять микрокод процессора на тот, где есть SSBD и тогда вообще никакой просадки производительности не будет. =)
Scio me nihil scire.
Спасибо сказали:

azsx
Сообщения: 2426
ОС: calculate linux, debian, ubuntu

Re: опция speculative_store_bypass_disable где она?

Сообщение azsx » 23.05.2018 01:23

можно не обновлять микрокод процессора на тот, где есть SSBD
Как я понял из предыдущей темы, мне надо чуть ли не ядро самому компилировать, чтобы микрокод не обновлять. То есть мне нужен более простой способ.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7531
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: опция speculative_store_bypass_disable где она?

Сообщение serzh-z » 23.05.2018 03:07

azsx писал(а):
23.05.2018 01:23
мне надо чуть ли не ядро самому компилировать
Странный комментарий от пользователя Gentoo... Но вообще, для процессоров Intel достаточно замаскировать пакет intel-ucode (или как там его зовут в Gentoo), начиная с версии, в которой добавили SSBD. В случае с AMD - замаскировать linux-firmware (либо просто руками заменить новые файлы прошивки AMD на более старые, c неотключаемым SSB). Включение же "spec_store_bypass_disable" не приведет к тому, что "не будут ставиться какие то обновления".
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7531
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: опция speculative_store_bypass_disable где она?

Сообщение serzh-z » 23.05.2018 03:21

Можно еще проще: использовать nospec_store_bypass_disable в параметрах загрузки ядра. Что-то мне подсказывает, что после раскрытия оставшихся шести уязвимостей, появится еще целая охапка параметров типа notnononononospec_store_bypass_disable. =)
Scio me nihil scire.
Спасибо сказали:

azsx
Сообщения: 2426
ОС: calculate linux, debian, ubuntu

Re: опция speculative_store_bypass_disable где она?

Сообщение azsx » 23.05.2018 04:28

Так как у меня:

Код: Выделить всё

uname -a
Linux calculate 4.14.39-calculate #1 SMP PREEMPT Tue May 8 21:33:27 +08 2018 x86_64 Intel(R) Celeron(R) CPU 847 @ 1.10GHz GenuineIntel GNU/Linux
А на странице https://www.systutorials.com/linux-kern ... x-4-9-102/ пишут, что данная опция есть только в ядре 4.9.102 мне лично пока можно не волноваться, верно?
Странный комментарий от пользователя Gentoo
Вот такой я юзер calculate.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7531
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: опция speculative_store_bypass_disable где она?

Сообщение serzh-z » 23.05.2018 14:09

azsx
Можно вообще не волноваться. И уж точно не волноваться до тех пор, пока производители процессоров не выпустят свежие прошивки к своим процессорам.
Scio me nihil scire.
Спасибо сказали:

azsx
Сообщения: 2426
ОС: calculate linux, debian, ubuntu

Re: опция speculative_store_bypass_disable где она?

Сообщение azsx » 23.05.2018 14:15

пока производители процессоров не выпустят свежие прошивки к своим процессорам
а как это понять? То есть как или где новость напишут именно о моём процессоре?
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 7531
Статус: Маньяк
ОС: Android, GNU/Linux, Windows

Re: опция speculative_store_bypass_disable где она?

Сообщение serzh-z » 23.05.2018 14:27

azsx
На сайтах AMD/Intel точно пишут. ) Либо можно следить за описанием очередного обновления intel-ucode или linux-firmware.
Последний раз редактировалось serzh-z 23.05.2018 14:40, всего редактировалось 2 раза.
Scio me nihil scire.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 14490
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: опция speculative_store_bypass_disable где она?

Сообщение Bizdelnick » 23.05.2018 14:32

azsx писал(а):
23.05.2018 14:15
как или где новость напишут именно о моём процессоре?
intel
AMD
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали: