View previous topic :: View next topic |
Author |
Message |
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2390 Location: Germany
|
Posted: Mon Aug 27, 2018 9:52 am Post subject: |
|
|
Mittlerweile sind alle meine Rechner mit Updates versorgt, mit dem aktuellen Microcode-update und bis auf den ältesten Rechner schaut das überall so aus:
Code: | grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, IBRS_FW |
Kernel 4.17.19 und intel-microcode Version: 20180807a_p20180808
Intel, ich bin zwar nicht ganz zufrieden mit der Art und Weise, aber dennoch ein Dank dafür das es im Laufe eines Jahres dann doch klappte, auch bei ca. 10 Jahre alten CPUs.
Wegen der Leistung: Das ist ärgerlich, aber ich nehme es lieber in Kauf, weil mir persönlich Sicherheit mehr wert ist als Leistung. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6748
|
Posted: Wed Aug 29, 2018 6:55 pm Post subject: |
|
|
ChrisJumper wrote: | /sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion |
Bei mir sieht das anders aus:
grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote: | /sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled |
|
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6748
|
Posted: Wed Aug 29, 2018 8:15 pm Post subject: |
|
|
Ergänzung: Nach
Code: | echo always >|/sys/module/kvm_intel/parameters/vmentry_l1d_flush |
erhalte ich
grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote: | /sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: cache flushes, SMT disabled |
was vermutlich langsamer aber sicherer ist. Leider habe ich weder eine Kernel-Option noch eine andere Möglichkeit in /etc/sysctl.d gefunden, die obige Kernel-Variable zu setzen. |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2390 Location: Germany
|
Posted: Wed Aug 29, 2018 8:51 pm Post subject: |
|
|
Danke für den Hinweis mv!
Hab hier auf dem System den kvm Treiber gar nicht in Benutzung, wahrscheinlich deswegen. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6748
|
Posted: Tue Sep 04, 2018 5:35 pm Post subject: |
|
|
Es gibt ein zugehöriges Kernel-Argument. Anscheinend sollte man dem Kernel inzwischen mindestens die beiden Argumente
Code: | spec_store_bypass_disable=on l1tf=full |
übergeben, wenn man Sicherheit über Geschwindigkeit stellt. Es wundert mich, dass diese nicht Default sind, wo Linus sich doch lauthals beschwert hat, dass der sichere Modus nach den Intel-Patches auf den Intel-Prozessoren nur ein Opt-In und nicht der Default sei. |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2390 Location: Germany
|
Posted: Sat Nov 17, 2018 10:15 pm Post subject: |
|
|
Fefe blogt über Sepctre und Meltdown, das laut Phoronix der neue 4.20er Linux Kernel teilweise 20 bis 50 Prozent Leistungseinbußen hat?! oO
Ich wollte zwar eh erst neue CPUs kaufen wenn diese auch eine Hardware Sicherung nutzen oder neue Technik haben. Aber ich fürchte langsam das uns das Thema in Zukunft noch länger begleiten wird. Vielleicht lohnt sich dann eine dedizierte Einrichtung für bestimmte Aufgaben und dort die Patches nicht zu nutzen aber die Umgebung zu härten oder die Daten vor der Verarbeitung zu prüften. |
|
Back to top |
|
|
firefly Watchman
Joined: 31 Oct 2002 Posts: 5204
|
Posted: Sun Nov 18, 2018 8:13 am Post subject: |
|
|
ChrisJumper wrote: | Fefe blogt über Sepctre und Meltdown, das laut Phoronix der neue 4.20er Linux Kernel teilweise 20 bis 50 Prozent Leistungseinbußen hat?! oO |
Wobei das jetzt hauptsächlich Intel CPUs betrifft. _________________ Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
Back to top |
|
|
mike155 Advocate
Joined: 17 Sep 2010 Posts: 4438 Location: Frankfurt, Germany
|
Posted: Sun Nov 18, 2018 10:49 pm Post subject: |
|
|
ChrisJumper wrote: | teilweise 20 bis 50 Prozent Leistungseinbußen |
Gut, dass Linus wieder da ist: https://lkml.org/lkml/2018/11/19/37 |
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2285 Location: Adendorf, Germany
|
Posted: Wed Nov 21, 2018 12:30 pm Post subject: |
|
|
Gibt es eigentlich irgendwelche Berichte darüber, dass es tatsächlich mal irgendwo zu Angriffen per MeltDown/Spectre gekommen ist?
Alle was ich bisher sehen konnte, sind konstruierte PoCs... Es wäre wirlich mal interessant wie praktisch die Gefahr wirklich ist, und wie viel graue Theorie hier uns das Fürchten lehrt. _________________ Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
Back to top |
|
|
Mgiese Veteran
Joined: 23 Mar 2005 Posts: 1609 Location: indiana
|
Posted: Wed Dec 12, 2018 12:13 am Post subject: |
|
|
spec_store_bypass_disable=on hilft nicht. Kernel 4.19.8 , GCC 8.2 zum Kernel bauen benutzt und immernoch :
Code: |
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable |
jemand nen tipp ?
thanks _________________ I do not have a Superman complex, for I am God not Superman
Ryzen9 7950x ; Geforce1650 ; kernel 6.5 ; XFCE |
|
Back to top |
|
|
Mgiese Veteran
Joined: 23 Mar 2005 Posts: 1609 Location: indiana
|
Posted: Wed May 15, 2019 6:52 pm Post subject: |
|
|
habe nun gentoo-sources 5.0.7 drauf, aber leider ist mein system immer noch nicht gefixt.
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable
Code: | spec_store_bypass_disable=on l1tf=full | uebergebe ich an den kernel.
CPU : Intel Core i5-3470
aktuelle unstable firmware ist installiert : sys-firmware/intel-microcode-20180807a_p20190420
muss man eventuell ein microcodeupdate manuell anstossen ?
danke fuer infos _________________ I do not have a Superman complex, for I am God not Superman
Ryzen9 7950x ; Geforce1650 ; kernel 6.5 ; XFCE |
|
Back to top |
|
|
firefly Watchman
Joined: 31 Oct 2002 Posts: 5204
|
Posted: Wed May 15, 2019 7:58 pm Post subject: |
|
|
AFAIK muss der microcode im kernel eingebunden werden, damit dieser beim systemstart den microcode in der cpu updaten kann.
https://wiki.gentoo.org/wiki/Intel_microcode
Daher muss man den kernel neu bauen, wenn ein update des intel-microcode paket installiert wurde. _________________ Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
Back to top |
|
|
Mgiese Veteran
Joined: 23 Mar 2005 Posts: 1609 Location: indiana
|
Posted: Wed May 15, 2019 9:21 pm Post subject: |
|
|
oh danke
Code: | General setup --->
[*] Initial RAM filesystem and RAM disk (initramfs/initrd) support
Processor type and features --->
<*> CPU microcode loading support
[*] Intel microcode loading support
emerge --ask --noreplace sys-firmware/intel-microcode sys-apps/iucode_tool
iucode_tool -S --write-earlyfw=/boot/early_ucode.cpio /lib/firmware/intel-ucode/*
grub-mkconfig -o /boot/grub/grub.cfg |
und neustart
Code: | /sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
|
danke sehr ! _________________ I do not have a Superman complex, for I am God not Superman
Ryzen9 7950x ; Geforce1650 ; kernel 6.5 ; XFCE |
|
Back to top |
|
|
|