Fórum Ubuntu CZ/SK

Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: juwa2 08 Ledna 2018, 22:28:38

Název: Návod na "vypnutí" patche kernelu KPTI (Meltdown)
Přispěvatel: juwa2 08 Ledna 2018, 22:28:38
Pokud nechcete přijít o výkon, případně výdrž baterie a zároveň nechcete úplně zakázat updaty kernelu (které obsahují i ostatní bezpečnostní záplaty), použijte přidání "nopti" do kernel boot parametru:
V souboru
/etc/default/grub
Kód: [Vybrat]
gksudo gedit /etc/default/grubnajděte řádek
GRUB_CMDLINE_LINUX_DEFAULT
a na jeho konec přidejte parametr
nopti
takže řádek bude:
GRUB_CMDLINE_LINUX_DEFAULT nopti
soubor uložte a pak do Terminálu zadejte příkaz:
Kód: [Vybrat]
sudo update-grub
Hotovo. Nyní můžete aktualizovat bez obav, že vás tato záplata postihne, sníží výkon a spotřebu vašeho PC/NTB.
-----------------------------------------------------------
Totéž lze "naklikat" např. v Grub Customizer (je tam na přídavný parametr "okýnko")

(https://i.stack.imgur.com/5DPU4.png)

Samozř. parametr "nopti" případně "pti=off" přidáte za stávající položky (položky jsou odděleny mezerou), takže tam zpravidla bude:
Kód: [Vybrat]
quiet splash nopti;)

EDIT:  Poslední kernel ještě bez patche je
3.13.0.137  (trusty LTS)
4.4.0-104    (xenial LTS)  (11.12. 2017)
(4.10)
První opatchovaný je
3.13.0.139
4.4.0-109  (10.1.2018)
(4.11)
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Ověření zda je KPTI aktivní (nikoli jestli je pouze nainstalován opatchovaný kernel, ale jestli je skutečně KPTI aktivní):
1. Příkazem
Kód: [Vybrat]
dmesg | grep "Kernel/User page tables isolation: enabled" && \
echo "patched :)" || echo "unpatched :("
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2. Nebo tímto skriptem (ověří meltdown i spectre, jestli je patch aplikován v kernelu a zda je aktivní)  https://github.com/speed47/spectre-meltdown-checker
Příkaz pro spuštění skriptu je
Kód: [Vybrat]
sudo sh /cesta/ke/spectre-meltdown-checker.sh
Příklad výstupu:

(https://camo.githubusercontent.com/6875e3d2d13b4dedcd753c9b2433703bc9fc2518/68747470733a2f2f6672616d617069632e6f72672f364f3476344141774d656e762f4d364a34434657777342337a2e706e67)

Název: Re:Návod na vyřazení patche kernelu KPTI (Meltdown)
Přispěvatel: Ventero 09 Ledna 2018, 13:13:02
Skvělá práce. Jen bych to přesunul do tipy a triky  :)

A nemá to být spíš takhle?:
Kód: [Vybrat]
GRUB_CMDLINE_LINUX_DEFAULT=nopti
Název: Re:Návod na vyřazení patche kernelu KPTI (Meltdown)
Přispěvatel: juwa2 09 Ledna 2018, 13:27:45
Citace: Ventero  09 Ledna 2018, 13:13:02
Skvělá práce. Jen bych to přesunul do tipy a triky  :)

A nemá to být spíš takhle?:
Kód: [Vybrat]
GRUB_CMDLINE_LINUX_DEFAULT=nopti
Nemá....
https://wiki.ubuntu.com/Kernel/KernelBootParameters
Název: Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
Přispěvatel: Standa99 23 Března 2018, 19:11:24
Mám v tom nějaký zmatek. Asi mě zlobí ty záplaty v nových kernelech (4.15), i když mám BIOS s tou poslední aktualizací mikrokódu a zbytku (starý 13 dní).
Tady https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls (https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls) jsou všechny přepínače těch záplat a když to vezmu pro amd64, tak vypnutí všeho bude:
nopti nopcid noibrs noibpb nospectre_v2
Chápu to dobře?

Edit:
Tak jsem tam dal všechny přepínače a "Spectre Variant 1" vypnout nejde.
Název: Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
Přispěvatel: juwa2 23 Března 2018, 20:19:22
Citace: Standa99  23 Března 2018, 19:11:24
Mám v tom nějaký zmatek. Asi mě zlobí ty záplaty v nových kernelech (4.15), i když mám BIOS s tou poslední aktualizací mikrokódu a zbytku (starý 13 dní).
Tady https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls (https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls) jsou všechny přepínače těch záplat a když to vezmu pro amd64, tak vypnutí všeho bude:
nopti nopcid noibrs noibpb nospectre_v2
Chápu to dobře?

Edit:
Tak jsem tam dal všechny přepínače a "Spectre Variant 1" vypnout nejde.

Použil jsi aktuální (novou) verzi toho kontrolního skriptu ?
Patch na Spectre je právě součástí toho mikrokódu (updatu biosu). Takže vypnout nepůjde (kromě vrácení biosu na starší verzi). Lze vypnout pouze ty patche které jsou součástí kernelů (a zavádí se při bootování).
Název: Re:Návod na "vypnutí" patche kernelu KPTI (Meltdown)
Přispěvatel: Standa99 23 Března 2018, 22:49:23
Vidíš, to mi nedocvaklo, když jde vypnout pouze nospectre_v2. Uvidím, jak se to bude chovat, protože mi server sem tam kolabuje díky ovladači pro WiFi kartu:
Kód: [Vybrat]
BUG: unable to handle kernel NULL pointer dereference at 0000000000000070
IP: iwl_trans_pcie_txq_enable+0x59/0x490 [iwlwifi]
což se před těmi všemi problémy se spectre+meltdown nedělo. Když bude nejhůř, tak bych tam dal i starší BIOS.