現在のIntel CPUセキュリティホールの問題のため、システムパフォーマンスを低下させるパッチが予想されます。
Ubuntuシステムにこのパッチがインストールされないようにするにはどうすればよいですか?
現在のIntel CPUセキュリティホールの問題のため、システムパフォーマンスを低下させるパッチが予想されます。
Ubuntuシステムにこのパッチがインストールされないようにするにはどうすればよいですか?
回答:
パッチ(「ページテーブル分離」とも呼ばれます)は、通常のカーネル更新(システムを更新すると取得されます)の一部になります。ただし、カーネルを他の多くのセキュリティ修正も受けるため、カーネルを最新の状態に保つことを強くお勧めします。したがって、修正せずに古いカーネルを使用することはお勧めしません。
ただし、カーネルコマンドライン(howto)にpti=off
(カーネルパッチでこのオプションを追加し、詳細情報を追加して)パッチを効果的に無効にすることができます。これを行うと、システムの安全性が低下することに注意してください。
PostgreSQLメーリングリストには、PTIを有効または無効にした情報とパフォーマンスのテストがあります-TLDRは、10〜30%のパフォーマンスへの影響があります(つまり、ProstgreSQLの場合、ゲームなどのその他の影響はおそらく少ないでしょう) 。
AMD は明らかに影響を受けない(reddit)ため、これは Intelプロセッサにのみ影響することに注意してください。したがって、AMDではデフォルトでこれが無効になると予想されます。
更新:この問題には、MeltdownとSpectreという2つのモニカーが与えられました。新しい情報で回答を更新しました。
最初はカーネルパッチになります。上位バージョンとして表示されます。インストール済みのためlinux-image-generic
インストールされます。それがそのパッケージの目的です。したがって、削除できますlinux-image-generic
。それは恐ろしい、悲惨なアイデアであり、あらゆる種類の厄介な問題にさらされますが、それは可能です。そこもまた中には以下のCPUのマイクロコードもlinux-firmware
で、CPUの修正のために。それは本当にIntelにあります。
これを修正するために従う方法は関係ありません。バグの本当の影響も、それを修正するためのパフォーマンスコストも知らない何かをバイパスするように求めています。
バグは厄介です。報告されたCVEは、プロセスにまたがるメモリ読み取りです。他のプロセスのメモリを読み取ることができるプロセス。入力、パスワード、全体。これはおそらくサンドボックスにも影響を与えます。非常に早い時期であり、人々は影響とアクセスの両方でこれをさらに推進することを期待しています。
パフォーマンスのヒットは、おそらくあなたが心配しているほど大きくはありません。人々が放り投げている数字は、理論的なサブシステムのパフォーマンス、または最悪の場合に焦点を当てています。キャッシュが不十分なデータベースは、最も大きな打撃を受けます。ゲーム、および日常的なものは、おそらくそれほど変化しません。
今でも実際のバグが何であるかを見ることができますが、影響が何であるかを言うのは時期尚早です。RAMへの無料の読み取りアクセスは悪いですが、もっと悪いことがあります。また、修正が実際にあなたに与える影響を確認するためにテストします(あなたが行うことで)。
フラグを使用してGRUB設定をプリロードしたり、カーネルメタパッケージをまだ削除したりしないでください。
pti=off
、カーネルコマンドライン(GRUB)に追加してパッチを無効にすることだけです。
これはお勧めしませんが、PTIを無効にすることは可能です
noptiカーネルコマンドラインパラメータ
Phoronixによると。
これを行うにnopti
は、GRUB_CMDLINE_LINUX_DEFAULT
in で始まる行の隣の文字列に追加してから、/etc/default/grub
実行します
sudo update-grub
その後、再起動します。
パフォーマンス関連のセキュリティ機能を無効にするカーネルブートパラメーターの詳細については、Ubuntu WikiのSpectre&Meltdown MitigationControlsを参照してください。
grubのカーネル引数の最後に次を追加します。
spectre_v2 = off nopti pti = off
カーネルパラメーターについては、https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControlsで説明しています 。
最も簡単な方法:カーネル構成のチェックを外します
->セキュリティオプション
[]ユーザーモードでカーネルマッピングを削除します
その後、新しいカーネルをコンパイルします
nopti
はおそらく最も優れた/より簡単な選択肢です。