Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
World of Warcraft

Novinky: Děkujeme všem návštěvníkům fóra, kteří ochotně radí ostatním. Vaše práce je velmi potřebná a vážíme si jí.

Autor Téma: Návod na "vypnutí" patche kernelu KPTI (Meltdown)  (Přečteno 490 krát)

juwa2

  • Závislák
  • ****
  • Příspěvků: 1598
  • Karma: +115/-34
    • Zobrazit profil
Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« kdy: 08 Leden 2018, 22:28:38 »
Pokud nechcete přijít o výkon, případně výdrž baterie a zároveň nechcete úplně zakázat updaty kernelu (které obsahují i ostatní bezpečnostní záplaty), použijte přidání "nopti" do kernel boot parametru:
V souboru
/etc/default/grub
Kód: [Vybrat]
gksudo gedit /etc/default/grubnajděte řádek
GRUB_CMDLINE_LINUX_DEFAULT
a na jeho konec přidejte parametr
nopti
takže řádek bude:
GRUB_CMDLINE_LINUX_DEFAULT nopti
soubor uložte a pak do Terminálu zadejte příkaz:
Kód: [Vybrat]
sudo update-grub
Hotovo. Nyní můžete aktualizovat bez obav, že vás tato záplata postihne, sníží výkon a spotřebu vašeho PC/NTB.
-----------------------------------------------------------
Totéž lze "naklikat" např. v Grub Customizer (je tam na přídavný parametr "okýnko")



Samozř. parametr "nopti" případně "pti=off" přidáte za stávající položky (položky jsou odděleny mezerou), takže tam zpravidla bude:
Kód: [Vybrat]
quiet splash nopti;)

EDIT:  Poslední kernel ještě bez patche je
3.13.0.137  (trusty LTS)
4.4.0-104    (xenial LTS)  (11.12. 2017)
(4.10)
První opatchovaný je
3.13.0.139
4.4.0-109  (10.1.2018)
(4.11)
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Ověření zda je KPTI aktivní (nikoli jestli je pouze nainstalován opatchovaný kernel, ale jestli je skutečně KPTI aktivní):
1. Příkazem
Kód: [Vybrat]
dmesg | grep "Kernel/User page tables isolation: enabled" && \
echo "patched :)" || echo "unpatched :("

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2. Nebo tímto skriptem (ověří meltdown i spectre, jestli je patch aplikován v kernelu a zda je aktivní)  https://github.com/speed47/spectre-meltdown-checker
Příkaz pro spuštění skriptu je
Kód: [Vybrat]
sudo sh /cesta/ke/spectre-meltdown-checker.sh
Příklad výstupu:



« Poslední změna: 17 Leden 2018, 15:08:31 od juwa2 »

Ventero

  • Závislák
  • ****
  • Příspěvků: 1244
  • Karma: +40/-12
    • Zobrazit profil
Re:Návod na vyřazení patche kernelu KPTI (Meltdown)
« Odpověď #1 kdy: 09 Leden 2018, 13:13:02 »
Skvělá práce. Jen bych to přesunul do tipy a triky  :)

A nemá to být spíš takhle?:
Kód: [Vybrat]
GRUB_CMDLINE_LINUX_DEFAULT=nopti
« Poslední změna: 09 Leden 2018, 13:14:57 od Ventero »
Zvuky jsou mantrami a myšlenky moudrostí, prostě proto, že se mohou objevovat ...

juwa2

  • Závislák
  • ****
  • Příspěvků: 1598
  • Karma: +115/-34
    • Zobrazit profil
Re:Návod na vyřazení patche kernelu KPTI (Meltdown)
« Odpověď #2 kdy: 09 Leden 2018, 13:27:45 »
Skvělá práce. Jen bych to přesunul do tipy a triky  :)

A nemá to být spíš takhle?:
Kód: [Vybrat]
GRUB_CMDLINE_LINUX_DEFAULT=nopti
Nemá....
https://wiki.ubuntu.com/Kernel/KernelBootParameters

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 579
  • Karma: +63/-2
    • Zobrazit profil
Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« Odpověď #3 kdy: 23 Březen 2018, 19:11:24 »
Mám v tom nějaký zmatek. Asi mě zlobí ty záplaty v nových kernelech (4.15), i když mám BIOS s tou poslední aktualizací mikrokódu a zbytku (starý 13 dní).
Tady https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls jsou všechny přepínače těch záplat a když to vezmu pro amd64, tak vypnutí všeho bude:
nopti nopcid noibrs noibpb nospectre_v2
Chápu to dobře?

Edit:
Tak jsem tam dal všechny přepínače a "Spectre Variant 1" vypnout nejde.
« Poslední změna: 23 Březen 2018, 20:03:44 od Standa99 »

Server#1 - GA-H170N-WIFI, Pentium G4400, 16GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 16.04

juwa2

  • Závislák
  • ****
  • Příspěvků: 1598
  • Karma: +115/-34
    • Zobrazit profil
Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« Odpověď #4 kdy: 23 Březen 2018, 20:19:22 »
Mám v tom nějaký zmatek. Asi mě zlobí ty záplaty v nových kernelech (4.15), i když mám BIOS s tou poslední aktualizací mikrokódu a zbytku (starý 13 dní).
Tady https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls jsou všechny přepínače těch záplat a když to vezmu pro amd64, tak vypnutí všeho bude:
nopti nopcid noibrs noibpb nospectre_v2
Chápu to dobře?

Edit:
Tak jsem tam dal všechny přepínače a "Spectre Variant 1" vypnout nejde.

Použil jsi aktuální (novou) verzi toho kontrolního skriptu ?
Patch na Spectre je právě součástí toho mikrokódu (updatu biosu). Takže vypnout nepůjde (kromě vrácení biosu na starší verzi). Lze vypnout pouze ty patche které jsou součástí kernelů (a zavádí se při bootování).

Standa99

  • Stálý člen
  • ***
  • Příspěvků: 579
  • Karma: +63/-2
    • Zobrazit profil
Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
« Odpověď #5 kdy: 23 Březen 2018, 22:49:23 »
Vidíš, to mi nedocvaklo, když jde vypnout pouze nospectre_v2. Uvidím, jak se to bude chovat, protože mi server sem tam kolabuje díky ovladači pro WiFi kartu:
Kód: [Vybrat]
BUG: unable to handle kernel NULL pointer dereference at 0000000000000070
IP: iwl_trans_pcie_txq_enable+0x59/0x490 [iwlwifi]
což se před těmi všemi problémy se spectre+meltdown nedělo. Když bude nejhůř, tak bych tam dal i starší BIOS.

Server#1 - GA-H170N-WIFI, Pentium G4400, 16GB RAM, 4xLAN Intel i211+i219+Dual 82571EB, WiFi Intel AC-8260, SSD+HDD, 16.04
Server#2 - Intel DN2800MT, 4GB RAM, 2xLAN Intel 82574L, WiFi Atheros AR5BHB92, SSD+HDD, 16.04