Como desativar o Isolamento da Tabela de Páginas para recuperar o desempenho perdido devido ao patch de falhas de segurança da CPU da Intel?

O patch (também conhecido como "isolamento da tabela de páginas") fará parte de uma atualização normal do kernel. No entanto, manter o kernel atualizado é altamente recomendado, pois também recebe muitas outras correções de segurança. Então, eu não recomendaria apenas usar um kernel desatualizado sem a correção.

No entanto, você pode efetivamente desativar o patch adicionando pti=off ( patch do kernel adicionando essa opção, com mais informações ) para a linha de comando do kernel ( howto ). Observe que isso resultará em um sistema menos seguro.

Há mais informações e testes de desempenho com a PTI ativada e desativada na lista de correspondência do PostgreSQL - TLDR é que tem um impacto de desempenho entre 10 e 30% (para ProstgreSQL, isto é - outras coisas como jogos provavelmente terá menos impacto.

Observe que isso afetará apenas os processadores Intel, já que a AMD aparentemente não é afetada (reddit ), portanto, isso será previsivelmente desativado por padrão na AMD.

Atualização: O problema recebeu um par de apelidos: Colapso e Espectro . Atualizei a resposta com as novas informações.

Vai ser um patch de kernel inicialmente. Ele aparecerá como uma versão superior. Ele será instalado porque você tem linux-image-generic instalado. É para isso que esse pacote é. Então você pode remover linux-image-generic . É uma ideia horrível, desastrosa , que irá expor você a todos os tipos de problemas , mas você < em> poderia fazê-lo. Há pode também ser o microcódigo da CPU que segue em linux-firmware para uma correção na CPU. Isso é realmente na Intel.

O método que você segue para corrigir isso é irrelevante. Você está pedindo para ignorar algo em que não conhece o verdadeiro impacto do bug, nem o custo de desempenho de corrigi-lo.

• O erro é desagradável. Os CVEs relatados são leitura de memória de processo cruzado. Qualquer processo que seja capaz de ler a memória de qualquer outro processo. Entrada, senhas, todo o lote. Isso provavelmente tem implicações em sandboxes também. É muito cedo e espero que as pessoas o empurrem ainda mais, tanto no impacto quanto no acesso.

• O impacto no desempenho provavelmente não é tão grande quanto o que você está preocupado. Os números que as pessoas estão jogando concentram-se no desempenho do subsistema teórico, ou no pior dos casos. Um banco de dados mal colocado em cache é o que vai ser mais atingido. Jogos e coisas do dia-a-dia provavelmente não vão mudar de forma mensurável.

Mesmo agora, podemos ver qual é o erro real, é muito cedo para dizer qual é o impacto. Embora o acesso de leitura livre à RAM seja ruim, há coisas piores por aí. Eu também testaria para ver o quanto a correção realmente afeta você (com as coisas que você faz).

Não comece a pré-carregar sua configuração do GRUB com sinalizadores ou remover pacotes meta do Kernel ainda.

Embora eu não recomende isso, é possível desativar o PTI

de acordo com Phoronix .

Para fazer isso, anexe nopti à string ao lado da linha que começa com GRUB_CMDLINE_LINUX_DEFAULT em /etc/default/grub e, em seguida, execute

sudo update-grub

seguido de um reinício.

Para saber mais sobre os parâmetros de inicialização do kernel, confira o Wiki do Ubuntu .

Maneira mais simples: desmarque a configuração do kernel

- > Opções de segurança

[] Remove o mapeamento do kernel no modo de usuário

depois compile o novo kernel

Adicione o seguinte ao final do argumento do kernel no grub: -