Jon*_*sCz 57
补丁(又名“页表隔离”)将是正常内核更新的一部分(更新系统时您将获得)。但是,强烈建议保持内核最新,因为它还可以获得许多其他安全修复程序。所以我不建议只使用没有修复的过时内核。
但是,您可以通过向内核命令行 ( howto )添加pti=off(内核补丁添加此选项,包含更多信息)来有效禁用补丁。请注意,这样做会导致系统安全性降低。
在PostgreSQL 邮件列表上有更多关于启用和禁用 PTI 的信息和性能测试- TLDR 是它有 10% 到 30% 的性能影响(对于 ProstgreSQL,也就是说 - 其他事情(例如游戏)可能会看到影响较小) .
请注意,这只会影响 Intel 处理器,因为 AMD显然不受影响(reddit),因此可以预见,默认情况下 AMD 将禁用此功能。
Oli*_*Oli 35
更新:该问题已获得两个绰号:Meltdown 和 Spectre。我已经用新信息更新了答案。
它最初是一个内核补丁。它将显示为更高版本。它会被安装,因为你已经linux-image-generic安装了。这就是那个包的用途。所以你可以删除linux-image-generic. 这是一个可怕的、灾难性的想法,它会让你暴露在各种恶劣的环境中,但你可以做到。有可能还是遵循CPU微代码linux-firmware为in-CPU修复。这真的取决于英特尔。
您用来解决此问题的方法无关紧要。你要求绕过一些你既不知道错误的真正影响,也不知道修复它的性能成本的东西。
这个错误很恶心。报告的 CVE 是跨进程内存读取。任何进程都可以读取任何其他进程的内存。输入,密码,一应俱全。这也可能对沙箱产生影响。现在还为时过早,我希望人们在影响和访问方面进一步推动这一点。
性能下降可能没有您担心的那么大。人们抛出的数字集中在理论上的子系统性能上,或者说最坏的情况。缓存不佳的数据库将受到最严重的打击。游戏和日常事物可能不会发生明显的变化。
即使现在我们可以看到实际的错误是什么,现在说影响是什么还为时过早。虽然对 RAM 的免费读取访问很糟糕,但还有更糟糕的事情。我还会测试看看修复对你有多大影响(你所做的事情)。
暂时不要开始使用标志预加载您的 GRUB 配置,或删除内核元数据包。
nix*_*wer 14
虽然我不推荐这样做,但可以禁用 PTI
使用nopti内核命令行参数
根据Phoronix。
为此,请附加nopti到以GRUB_CMDLINE_LINUX_DEFAULTin开头的行旁边的字符串/etc/default/grub,然后运行
sudo update-grub
然后是重新启动。
有关禁用与性能相关的安全功能的内核启动参数的更多信息,请参阅:Ubuntu Wiki 中的 Spectre&Meltdown MitigationControls
将以下内容添加到 grub 中内核参数的末尾:-
spectre_v2=关闭 nopti pti=关闭
内核参数描述在:https : //wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls