yll*_*ate 13 security linux performance performance-tuning linux-kernel
当虚拟机 Linux 主机服务器不面向 Internet 并且仅在 LAN 上使用并且使用经过相对良好测试的发行版(如 Proxmox)时,通过内核 arg 关闭所有漏洞缓解措施会有多危险mitigations=off?
此外,是否有人测试过关闭所有此类缓解措施可能会带来哪些性能提升?
最近,当我看到缓解措施造成的巨大打击时,这对我来说成为一个问题retbleed: https: //www.phoronix.com/review/retbleed-benchmark
这种思路延伸到了对通过上述内核参数或单独关闭高影响缓解措施来删除所有或部分缓解措施可能产生的后果(无论是坏的还是积极的)的好奇心。
diy*_*iya 14
Linux 内核标志mitigations=[on|off]是一个单一切换,可轻松启用/禁用针对硬件漏洞的所有可用内核缓解措施,如此处列出的https://docs.kernel.org/admin-guide/hw-vuln/index.html
当然,其影响完全取决于您的 CPU:
\n当您的 CPU 不易受到任何已知漏洞的影响时,则所有缓解措施均不适用,并且影响实际上应为零。
\n当您的 CPU 容易受到某些漏洞的影响(是否有 CPU 容易受到所有漏洞的影响?)时,其影响取决于具体的漏洞和您的工作负载。
\n至于风险分析,这还取决于您的工作负载和用户群。
\n在由公共 VPS 提供商运营的虚拟化主机上,与我在同事专用的内部虚拟化主机上所期望的相比,来宾的信任度较低,而且更有可能是恶意(或受损)的。
\n例如,在用于 CI/CD 管道和计算集群的虚拟化主机上,所有来宾都是短暂的,从受信任的映像进行部署,运行长达几个小时,然后再次被销毁。在那里,我们需要我们可以获得的所有性能并禁用缓解措施。
\n在不同的共享集群上,我们托管更多经典的服务器整合工作负载;在那里部署的来宾可以(并且更有可能)运行 \xe2\x80\x9cforever\xe2\x80\x9d 而不是几个小时。它混合了生产和非生产工作负载,并且来宾由 DevOps 团队管理,这些团队并不那么勤奋地修补和更新其系统和应用程序。
\n恶意或受损来宾的风险要高得多,特定工作负载的性能可能会降低,这是可接受的权衡,因此确实会在那里启用缓解措施,并且我们限制哪些 CPU 标志暴露给来宾。
| 归档时间: |
|
| 查看次数: |
5381 次 |
| 最近记录: |