Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Návod na "vypnutí" patche kernelu KPTI (Meltdown)  (Přečteno 2242 krát)

juwa2

  • Závislák
  • ***
  • Příspěvků: 4935
Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« kdy: 08 Ledna 2018, 22:28:38 »
Pokud nechcete přijít o výkon, případně výdrž baterie a zároveň nechcete úplně zakázat updaty kernelu (které obsahují i ostatní bezpečnostní záplaty), použijte přidání "nopti" do kernel boot parametru:
V souboru
/etc/default/grub
Kód: [Vybrat]
gksudo gedit /etc/default/grubnajděte řádek
GRUB_CMDLINE_LINUX_DEFAULT
a na jeho konec přidejte parametr
nopti
takže řádek bude:
GRUB_CMDLINE_LINUX_DEFAULT nopti
soubor uložte a pak do Terminálu zadejte příkaz:
Kód: [Vybrat]
sudo update-grub
Hotovo. Nyní můžete aktualizovat bez obav, že vás tato záplata postihne, sníží výkon a spotřebu vašeho PC/NTB.
-----------------------------------------------------------
Totéž lze "naklikat" např. v Grub Customizer (je tam na přídavný parametr "okýnko")



Samozř. parametr "nopti" případně "pti=off" přidáte za stávající položky (položky jsou odděleny mezerou), takže tam zpravidla bude:
Kód: [Vybrat]
quiet splash nopti;)

EDIT:  Poslední kernel ještě bez patche je
3.13.0.137  (trusty LTS)
4.4.0-104    (xenial LTS)  (11.12. 2017)
(4.10)
První opatchovaný je
3.13.0.139
4.4.0-109  (10.1.2018)
(4.11)
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Ověření zda je KPTI aktivní (nikoli jestli je pouze nainstalován opatchovaný kernel, ale jestli je skutečně KPTI aktivní):
1. Příkazem
Kód: [Vybrat]
dmesg | grep "Kernel/User page tables isolation: enabled" && \
echo "patched :)" || echo "unpatched :("

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2. Nebo tímto skriptem (ověří meltdown i spectre, jestli je patch aplikován v kernelu a zda je aktivní)  https://github.com/speed47/spectre-meltdown-checker
Příkaz pro spuštění skriptu je
Kód: [Vybrat]
sudo sh /cesta/ke/spectre-meltdown-checker.sh
Příklad výstupu:



« Poslední změna: 17 Ledna 2018, 15:08:31 od juwa2 »

Ventero

  • Závislák
  • ***
  • Příspěvků: 3538
Re:Návod na vyřazení patche kernelu KPTI (Meltdown)
« Odpověď #1 kdy: 09 Ledna 2018, 13:13:02 »
Skvělá práce. Jen bych to přesunul do tipy a triky  :)

A nemá to být spíš takhle?:
Kód: [Vybrat]
GRUB_CMDLINE_LINUX_DEFAULT=nopti
« Poslední změna: 09 Ledna 2018, 13:14:57 od Ventero »
Zvuky jsou mantrami a myšlenky moudrostí, prostě proto, že se mohou objevovat ...

juwa2

  • Závislák
  • ***
  • Příspěvků: 4935
Re:Návod na vyřazení patche kernelu KPTI (Meltdown)
« Odpověď #2 kdy: 09 Ledna 2018, 13:27:45 »
Skvělá práce. Jen bych to přesunul do tipy a triky  :)

A nemá to být spíš takhle?:
Kód: [Vybrat]
GRUB_CMDLINE_LINUX_DEFAULT=nopti
Nemá....
https://wiki.ubuntu.com/Kernel/KernelBootParameters

Standa99

  • Host
Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« Odpověď #3 kdy: 23 Března 2018, 19:11:24 »
Mám v tom nějaký zmatek. Asi mě zlobí ty záplaty v nových kernelech (4.15), i když mám BIOS s tou poslední aktualizací mikrokódu a zbytku (starý 13 dní).
Tady https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls jsou všechny přepínače těch záplat a když to vezmu pro amd64, tak vypnutí všeho bude:
nopti nopcid noibrs noibpb nospectre_v2
Chápu to dobře?

Edit:
Tak jsem tam dal všechny přepínače a "Spectre Variant 1" vypnout nejde.
« Poslední změna: 23 Března 2018, 20:03:44 od Standa99 »

juwa2

  • Závislák
  • ***
  • Příspěvků: 4935
Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« Odpověď #4 kdy: 23 Března 2018, 20:19:22 »
Mám v tom nějaký zmatek. Asi mě zlobí ty záplaty v nových kernelech (4.15), i když mám BIOS s tou poslední aktualizací mikrokódu a zbytku (starý 13 dní).
Tady https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls jsou všechny přepínače těch záplat a když to vezmu pro amd64, tak vypnutí všeho bude:
nopti nopcid noibrs noibpb nospectre_v2
Chápu to dobře?

Edit:
Tak jsem tam dal všechny přepínače a "Spectre Variant 1" vypnout nejde.

Použil jsi aktuální (novou) verzi toho kontrolního skriptu ?
Patch na Spectre je právě součástí toho mikrokódu (updatu biosu). Takže vypnout nepůjde (kromě vrácení biosu na starší verzi). Lze vypnout pouze ty patche které jsou součástí kernelů (a zavádí se při bootování).

Standa99

  • Host
Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« Odpověď #5 kdy: 23 Března 2018, 22:49:23 »
Vidíš, to mi nedocvaklo, když jde vypnout pouze nospectre_v2. Uvidím, jak se to bude chovat, protože mi server sem tam kolabuje díky ovladači pro WiFi kartu:
Kód: [Vybrat]
BUG: unable to handle kernel NULL pointer dereference at 0000000000000070
IP: iwl_trans_pcie_txq_enable+0x59/0x490 [iwlwifi]
což se před těmi všemi problémy se spectre+meltdown nedělo. Když bude nejhůř, tak bych tam dal i starší BIOS.

 

Provoz zaštiťuje spolek OpenAlt.