ইন্টেল সিপিইউ সুরক্ষা গর্ত প্যাচের কারণে হারিয়ে যাওয়া পারফরম্যান্স ফিরে পেতে পৃষ্ঠা সারণী বিচ্ছিন্নতা কীভাবে অক্ষম করবেন?


43

বর্তমান ইন্টেল সিপিইউ সুরক্ষা গর্ত সমস্যার কারণে, এমন একটি প্যাচ প্রত্যাশিত যা সিস্টেমের কার্য সম্পাদনকে ধীর করে দেয়।

এই প্যাচটি আমার উবুন্টু সিস্টেমে ইনস্টল করা হবে না তা আমি কীভাবে নিশ্চিত করতে পারি?


49
অন্যান্য অন্যান্য সুরক্ষা ব্যবস্থা অক্ষম করে আপনি আপনার সিস্টেমের কার্যকারিতা আরও বাড়িয়ে নিতে পারেন। না, এটি কোনও সুপারিশ নয়।
স্কাই 15

11
যদি পারফরম্যান্স আপনার কাছে গুরুত্বপূর্ণ হয়ে থাকে তবে আমি নিজেকে সাম্প্রতিক কার্নেল রিলিজ প্রার্থী তৈরি করার এবং আপনার কাজের চাপের উপরের পারফরম্যান্স ক্ষতির পরীক্ষা করার পরামর্শ দিচ্ছি। আপনি দেখতে পাচ্ছেন যে ওভারহেডটি নগন্য বা সহনীয়।
জেফ্রি বসবুম

5
এই ধারণাটি কতটা ভয়ঙ্কর তা আমি বড় বড় করতে পারি না।
আলেকজান্ডার

13
আমি মতবিরোধ করতে যাচ্ছি। ব্যক্তিগতভাবে আমি সুরক্ষা বৈশিষ্ট্যগুলি অক্ষম করার পরামর্শ দেব না, তবে ব্যবহারকারীরা যারা পিটিআই নিষ্ক্রিয় করার একটি পারফরম্যান্স দেখেছেন তাদের পক্ষে এই নির্দিষ্ট সুরক্ষা গর্তের বিরুদ্ধে আক্রমণ এবং টার্গেটের কম্পিউটার / ডেটার মান কতটা কঠিন হতে পারে তা বিবেচনা করে একটি যুক্তিসঙ্গত বিকল্প হতে পারে। প্রশ্নটি কীভাবে এই বিকল্পটি অক্ষম করা যায় আমি এই বিকল্পটি অক্ষম না করে।
প্যানথার

2
আমি সম্মত, পিটিআই একটি সুরক্ষা বৈশিষ্ট্য যা অহেতুক খরচ করতে পারে। এটি তাদের পক্ষে এবং এই প্রশ্নের ক্ষেত্রের বাইরে সঠিক কিনা তা সিদ্ধান্ত নিতে এটি ওপেনের কাজ up
জেক

উত্তর:


55

প্যাচ (ওরফে "পৃষ্ঠার সারণী বিচ্ছিন্নতা") একটি সাধারণ কার্নেল আপডেটের অংশ হবে (যা আপনি আপনার সিস্টেম আপডেট করার সময় পাবেন)। তবে, কার্নেলটি আপ টু ডেট রাখার জন্য সুপারিশ করা হয়, কারণ এটি অন্যান্য অন্যান্য সুরক্ষা সংশোধন করে। সুতরাং আমি ঠিক না করে কেবল একটি পুরানো কার্নেল ব্যবহার করার পরামর্শ দেব না

তবে, আপনি আপনার কার্নেল কমান্ড লাইনে ( হাওটো ) আরও কার্যকরভাবে প্যানেলটি যুক্ত করতে পারেন pti=off( আরও তথ্যের সাথে এই বিকল্প যুক্ত কর্নেল প্যাচ) যুক্ত করে প্যাচটি অক্ষম করতে পারেন । নোট করুন যে এটি করার ফলে কম সুরক্ষিত সিস্টেম তৈরি হবে।

পিটিগ্রিএসকিউএল মেলিং তালিকায় পিটিআই সক্ষম এবং অক্ষম থাকা সম্পর্কিত আরও তথ্য এবং পারফরম্যান্স পরীক্ষা রয়েছে - টিএলডিআর হ'ল এটির 10 থেকে 30% এর মধ্যে পারফরম্যান্স প্রভাব রয়েছে (প্রোস্টগ্রিসকিউএল এর জন্য, এটি - গেমসের মতো অন্যান্য জিনিস সম্ভবত কোনও প্রভাব কম দেখবে) ।

নোট করুন যে এটি কেবল ইনটেল প্রসেসরগুলিকেই প্রভাব ফেলবে, কারণ এএমডি স্পষ্টতই ক্ষতিগ্রস্থ হবে না ( reddit ), সুতরাং এটি অবশ্যই AMD এ ডিফল্টরূপে অক্ষম করা হবে।


2
"... এটি এএমডিতে ডিফল্টরূপে অক্ষম হবে fore" তার মানে কি এই যে উনুন্টু অপারেটিং সিস্টেমগুলিতে ক্যানোনিকাল দ্বারা সরবরাহিত একটি এএমডি সিপিইউযুক্ত মেশিনগুলিতে চলমান উবুন্টু অপারেটিং সিস্টেমগুলির জন্য একটি অতিরিক্ত কার্নেল সংস্করণ থাকবে? :)
ক্লাব নেটবক্স

16
না, কার্নেল এটিএমডি সিপিইউতে চলমান আবহাওয়ার সনাক্ত করে (বুটআপে) এবং এটি যদি থাকে তবে এটি অক্ষম করে। @ সিএল-নেটবক্স
জোনাসসিজে -

1
মতে theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability এএমডির চিপ, স্পেকটের আক্রমণের অন্তত একটি বিভিন্ন (শাখা লক্ষ্য ইনজেকশন) দ্বারা প্রভাবিত হয়, যাতে তারা একটি সম্ভবত ক্ষমতা সম্পন্ন-প্রভাবিত এই সপ্তাহে আপডেট কার্নেল পেয়ে করা হবে এছাড়াও, যদিও তারা মেল্টডাউন উপযুক্ত সাপেক্ষে না।
ডেভ শেরোহমান

1
স্পষ্টতই এই বৈশিষ্ট্যটি x64 আর্কিটেকচারে রয়েছে, তবে আই 386 / আইএ -32-এ নয়, কারণ প্যাচটি 32 বিট লিনাক্সকে প্রভাবিত করে না (সুরক্ষা / কেকনফিগকে PAGE_TABLE_ISOLATION সক্ষম করতে X86_64 প্রয়োজন)। যদিও এটি আরও একটি প্রশ্ন নিয়ে আসে। 32 বিট লিনাক্স ইনস্টল করা এক্স x 64 মেশিন সম্পর্কে কী এগুলি প্রভাবিত হতে পারে? যদি তা হয় তবে, পুরাতন এক্স 64 মেশিনগুলি কীভাবে বায়োস দ্বারা সীমাবদ্ধ কেবল 32 বিট নির্দেশাবলী (পুরানো অ্যাটম-ভিত্তিক নেটবুকের মতো) চালাতে পারে? তারা কি হাঁস বসে আছে?
পিপ্রেগ্রিপার

2
যতক্ষণ না আমি নির্দিষ্ট কিছু জানতে পেরেছি সেখানে একটি জাভাস্ক্রিপ্ট ভিত্তিক আক্রমণ রয়েছে যা আমি এটি ব্যবহারের পরিকল্পনা করছিলাম।
জোশুয়া

35

আপডেট: ইস্যুটিতে মনিকারদের একটি জুটি দেওয়া হয়েছে: মেল্টডাউন এবং স্পেকটার । আমি উত্তরটি নতুন তথ্য দিয়ে আপডেট করেছি।

এটি প্রাথমিকভাবে কার্নেল প্যাচ হবে। এটি একটি উচ্চতর সংস্করণ হিসাবে প্রদর্শিত হবে। এটি ইনস্টল করা হবে কারণ আপনি linux-image-genericইনস্টল করেছেন। এই যে প্যাকেজ জন্য। সুতরাং আপনি অপসারণ করতে পারে linux-image-generic। এটা একটা ভয়ঙ্কর, এর বিপর্যয়মূলক ধারণা, যে আপনি এক্সপোজ করব ক্ষতিকারক জিনিসগুলি সমস্ত প্রকারের কিন্তু আপনি পারে এটা করতে। সেখানে পারে এছাড়াও CPU- র মাইক্রো-যে অনুসরণ করে হতে linux-firmwareএকটি ইন-CPU- র ফিক্স জন্য। এটি সত্যই ইনটেলের উপর।

আপনি যে পদ্ধতিটি অন-ফিক্সে অনুসরণ করেন এটি অপ্রাসঙ্গিক। আপনি এমন কোনও কিছুকে বাইপাস করতে জিজ্ঞাসা করছেন যেখানে আপনি বাগের আসল প্রভাব, না এটি ঠিক করার কার্যকারিতা ব্যয় জানেন।

  • বাগটি বাজে। রিপোর্ট করা সিভিই হ'ল ক্রস প্রসেস মেমরি রিডিং। যে কোনও প্রক্রিয়া অন্য যে কোনও প্রক্রিয়ার স্মৃতি পড়তে সক্ষম। ইনপুট, পাসওয়ার্ড, পুরো অনেক। এটি সম্ভবত স্যান্ডবক্সগুলিতেও জড়িত। এটি খুব প্রারম্ভিক দিন এবং আমি আশা করি লোকেরা প্রভাব এবং অ্যাক্সেস উভয়ই এটিকে আরও এগিয়ে দেবে।

  • পারফরম্যান্স হিট সম্ভবত আপনি হিসাবে উদ্বিগ্ন হিসাবে বড় না। লোকেরা তাত্ত্বিক সাবসিস্টেম কর্মক্ষমতা বা খারাপ অবস্থানে মনোযোগ কেন্দ্রীভূত করছে। সবচেয়ে খারাপভাবে ক্যাশেড ডাটাবেস হ'ল যা সবচেয়ে শক্তভাবে আঘাত পাবে। গেমিং এবং প্রতিদিনের জিনিসপত্র সম্ভবত পরিমাপযোগ্যভাবে পরিবর্তন হতে চলেছে না।

এমনকি এখন আমরা দেখতে পাচ্ছি যে আসল বাগটি কী তা, প্রভাব কী তা বলার আগে খুব তাড়াতাড়ি। যদিও র‌্যামে ফ্রি পড়ার অ্যাক্সেস খারাপ, সেখানে আরও খারাপ জিনিস রয়েছে। আমি ঠিক করেছিলাম ঠিক করে ফ্যাক্সটি আপনাকে কতটা প্রভাবিত করে তা দেখার জন্য (আপনি যা করেন তার সাথে)।

পতাকা সহ আপনার GRUB কনফিগারেশনটি প্রি-লোড করা বা ঠিক এখনও কার্নেল মেটা প্যাকেজ অপসারণ শুরু করবেন না।


7
pti=offপ্যাচটি অক্ষম করার জন্য আপনাকে যা করতে হবে তা হ'ল কর্নেল কমান্ড লাইনে (GRUB- এ) যুক্ত করতে হবে।
জোনাসসিজে - মনিকা

3
@ জোনাসসিজে মন্তব্য করেছেন যে - যদি সত্য হয় তবে আমি জানি না - মনে হয় এটির আলাদা উত্তর দেওয়া উচিত, বিশেষত যদি আপনি কোনও রেফারেন্স দিয়ে ব্যাক আপ নিতে পারেন।
বাইট কমান্ডার

আইএমএইচও নোপিটি আরও ভাল পছন্দ
প্যান্থার

3
@ অলি আমি সেই পরামর্শের সাথে একমত এবং আমার নিজের মতো করে অন্যত্র দিয়েছি। এর সাথে, প্রশ্নটি হল যে কীভাবে এই নতুন সুরক্ষা বৈশিষ্ট্যটি ইচ্ছা করলে অক্ষম করা যায় এবং IMO, nopti হ'ল এটি করার বিকল্প।
প্যান্থার

1
হ্যাঁ ভার্চুয়াল মেশিন ব্যবহার করার সময় এটি আমার কিছু সিস্টেমের কার্যক্রম 99% হ্রাস করেছে। হোস্ট থেকে ভার্চুয়াল মেশিনে ফাইলগুলি অনুলিপি করতে এখন 2-3 মিনিট সময় লাগে।
rboy

14

যদিও আমি এটির প্রস্তাব দিই না, পিটিআই অক্ষম করা সম্ভব

সঙ্গে Nopti কার্নেল কমান্ড-লাইন পরামিতি

অনুযায়ী Phoronix

এটি করতে, noptiলাইনের পাশের স্ট্রিংটিতে সংযোজন করুন যা শুরু GRUB_CMDLINE_LINUX_DEFAULTহয় /etc/default/grubএবং তারপরে চলছে

sudo update-grub

পুনরায় আরম্ভের পরে।

কর্মক্ষমতা-সম্পর্কিত সুরক্ষা বৈশিষ্ট্যগুলি অক্ষম করতে কার্নেল বুট প্যারামিটারগুলি সম্পর্কে আরও দেখুন: উবুন্টু উইকিতে স্পেক্টর এবং মেল্টডাউন প্রশমন নিয়ন্ত্রণগুলি


1
কার্নেল বুট প্যারাম Nopti এবং পিটিআই = বন্ধ মধ্যে পার্থক্য কি ?
নিউতেচ

@ নিউতেচে কোনও পার্থক্য নেই, প্রমাণের জন্য আপনি এখানে
নিক্স পাওয়ার

wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/… "nopti" এবং অন্যদের বর্ণনা করে ..
alfonx

5

গ্রাবটিতে আপনার কার্নেল যুক্তির শেষে নিম্নলিখিতটি যুক্ত করুন: -

বর্ণনাদায়ক_ভি 2 = বন্ধ নটি পিটিআই = বন্ধ

কার্নেলের প্যারামিটারগুলি এখানে বর্ণিত হয়েছে: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MiticationControls


3

সহজতম উপায়: কার্নেল কনফিগারেশনটি চেক করুন

-> সুরক্ষা বিকল্প

[] ব্যবহারকারী মোডে কার্নেল ম্যাপিং সরান

তারপরে নতুন কার্নেলটি সংকলন করুন


1
উবুন্টুকে জিজ্ঞাসা করুন স্বাগতম! বর্তমানের আকারে আপনার উত্তরটি যতটা ভাল হতে পারে তেমন ভাল নয়। আপনি কীভাবে একটি ভাল উত্তর লিখবেন এবং প্রশ্ন ও উত্তরগুলির জন্য স্টাইল গাইড পর্যালোচনা করতে পারেন । - পর্যালোচনা থেকে
জে। স্টারনেস

2
দুঃখজনকভাবে জে স্টার্নস ঠিক বলেছেন। আপনি চূড়ান্ত শেষ অবলম্বন ছাড়া আপনার নিজের কার্নেলটি আর সঙ্কলন করবেন না।
জোশুয়া

এটি কার্নেল বিকল্পগুলির পরিবর্তে তুচ্ছ পরিবর্তন, তবে, আইএমও noptiসম্ভবত রোস্টের চেয়ে ভাল / সহজ পছন্দ।
প্যান্থার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.