現在のMeltdown Intelプロセッサの脆弱性は、現在、ページテーブル分離を有効にすることで改善されています。これをオフにする方法について質問があります。IntelCPUセキュリティホールパッチにより失われたパフォーマンスを回復するためにページテーブル分離を無効にする方法はありますか？

私の質問は反対です：PTIメカニズムがシステムで有効であり、したがってシステムが保護されているかどうかを実行中のシステムで確認する方法はありますか？私は、特に探していますcat /proc/somethingかcat /sys/something、カーネルのバージョンや設定パラメータなどをチェックしません。

以下のコマンドを実行して、利用可能なすべての緩和策を確認できます（PTIだけでなく、他の脆弱性についても）：

$ cat /sys/devices/system/cpu/vulnerabilities/*
Mitigation: PTE Inversion
Mitigation: Clear CPU buffers; SMT vulnerable
Mitigation: PTI
Mitigation: Speculative Store Bypass disabled via prctl and seccomp
Mitigation: usercopy/swapgs barriers and __user pointer sanitization
Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling

• Ranizが推奨するようにカーネル構成でCONFIG_PAGE_TABLE_ISOLATIONを削除しても、デスクトップUbuntuには役立ちませんが、クラウドインスタンスには役立ちます。

  grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && \
  echo "patched :)" || echo "unpatched :("
  

• JonasCzが提案した/proc/cpuinfoように確認できます：

  grep -q "cpu_insecure\|cpu_meltdown\|kaiser" /proc/cpuinfo && echo "patched :)" \
  || echo "unpatched :("
  

• またはdmesg（ジェイソン・クレイトンに感謝）：

  dmesg | grep -q "Kernel/User page tables isolation: enabled" \
  && echo "patched :)" || echo "unpatched :("
  

• メルトダウン検出のために、Raphael Carvalhoからテストプログラムをコンパイルできます。

  sudo apt-get install git build-essential
  cd /tmp
  git clone https://github.com/raphaelsc/Am-I-affected-by-Meltdown.git
  cd Am-I-affected-by-Meltdown
  make
  sudo sh -c "echo 0  > /proc/sys/kernel/kptr_restrict"
  ./meltdown-checker
  

パッチを適用したシステムでは、出力で終了するはずです

...
so far so good (i.e. meltdown safe) ...

System not affected (take it with a grain of salt though as false negative
may be reported for specific environments; Please consider running it once again).

• https://github.com/speed47/spectre-meltdown-checkerのツールで確認します。

  cd /tmp
  wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
  sudo sh /tmp/spectre-meltdown-checker.sh
  

パッチが適用されたシステムでは、次のように表示されます。

Spectre and Meltdown mitigation detection tool v0.27

Checking for vulnerabilities against live running kernel Linux 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64
...
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

Xenialに4.4.0-108-genericをインストールしないでください！これは、ブート/リブート/シャットダウンを破る/機能を一時停止します！

4.4.0-109-genericをインストールします（詳細についてはUSN-3522-3を参照）！

以下のようRobie Basakはすでに書いた、およそページがあるスペクターとメルトダウンのUbuntuでのステータスを脆弱性は。

またあります：

• CVE-2017-5715のUbuntuセキュリティ速報
• CVE-2017-5753のUbuntuセキュリティ速報
• CVE-2017-5754のUbuntuセキュリティ速報

次のコマンドを実行します。

dmesg | grep 'page tables isolation'

有効と表示されている場合、PTIは有効になっています。何も表示されないか、ターミナルに「無効」と表示されている場合、PTIは無効になっています。Ubuntuはまだパッチを公開していないため、メッセージは表示されません。

「バグ」cat /proc/cpuinfoで報告さcpu_insecureれる場合は、で確認でき、PTIが有効になります。

空白の場合（または単に表示されない場合cpu_insecure）、おそらくまだパッチが適用されていないカーネルを実行している（Ubuntuのカーネルが実行されていない）か、AMDプロセッサを使用している（おそらくこれは有効にされません） 「脆弱ではありません）。

現在、最新の4.15カーネルでは、すべてのCPUが脆弱として扱われています。

システムのメルトダウン/スペクトルの脆弱性をテストするための次の素晴らしいshスクリプトを見つけました。

https://github.com/speed47/spectre-meltdown-checker

このスクリプトは、システムを既知のMeltdownとシステム上のスペクターパッチでチェックし、これらの脆弱性がOSによって緩和されているかどうかを通知します

/proc/config.gzを確認できます。CONFIG_PAGE_TABLE_ISOLATION=yこれは、カーネルがKPTIでコンパイルされたことを意味します。

これは、4.14.11-1を実行しているパッチを適用したArch Linuxシステム上にあります。

$ zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz 
CONFIG_PAGE_TABLE_ISOLATION=y

AWS Ubuntu 14.04.5 LTS EC2インスタンスで実行しました

grep CONFIG_PAGE_TABLE_ISOLATION /boot/config-$(uname -r)

それは言うべきです：

CONFIG_PAGE_TABLE_ISOLATION=y

更新のために：

sudo apt-get update && sudo apt-get install linux-image-generic

これも問題ないと思います：

sudo apt-get update
sudo apt-get dist-upgrade

カーネルのバージョンを確認するには：

uname -r

3.13.0-139-generic以降である必要があります。