为打上Meltdown&Spectre补丁的内核关闭PTI,找回原本的性能
in 笔记 with 0 comment

为打上Meltdown&Spectre补丁的内核关闭PTI,找回原本的性能

in 笔记 with 0 comment

特别提醒

强烈不建议生产环境服务器按此文操作,请⌘+w关闭页面,安全第一,数据无价


对于测试环境和普通桌面Linux系统用户,此cpu补丁意义不大,触发条件苛刻,反而带来性能的损失,所以我们关闭之。

检测脚本:

wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh && bash spectre-meltdown-checker.sh

patch过的内核检测如图:
patched
下面来关闭PTI

vim /etc/default/grub

GRUB_CMDLINE_LINUX添加

spectre_v2=off nopti

更新grub配置:

debian:

update-grub

centos:

grub2-mkconfig -o /boot/grub2/grub.cfg

重启即可。再次检测:

unpatched
可以看到内核是支持PTI的,但处于未激活状态!

平时不喜欢尝鲜的,也可以安装未受此补丁影响的最后的版本:

Debin 8

Debian 9

下载:http://snapshot.debian.org/archive/debian/20180209T120052Z/pool/main/l/linux/

Centos 7

下载:http://mirror.centos.org/centos/7/virt/x86_64/xen/

apt upgradeyum update的时候跳过内核即可。

ps:个人不喜欢用ubuntu的内核可劲的朝debian上怼!


参考文章:

https://access.redhat.com/articles/3311301

Debian的安全通告:

https://security-tracker.debian.org/tracker/CVE-2017-5715
https://security-tracker.debian.org/tracker/CVE-2017-5754
https://security-tracker.debian.org/tracker/CVE-2017-5753

Responses