在Intel处理器上,修改mitigations参数使Linux系统运行得更快

最新推荐文章于 2025-03-31 13:12:37 发布
最新推荐文章于 2025-03-31 13:12:37 发布
阅读量6.5k 收藏 7
点赞数 2
分类专栏: Linux系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hbuxiaofei/article/details/115519407
版权

您可能听说过影响了许多现代处理器,包括英特尔,AMD,System Z,Power和ARM的某些处理器。幸运的是,内核开发人员已经发布了安全补丁来解决Meltdown/Spectre问题,在最新的内核版本中,默认情况下应用补丁。尽管安全补丁有助于缓解漏洞,但是它们也会影响系统的性能,如果您的系统受到了很好的保护,并且希望获得所有的性能,那么本指南非常适合您。本简要指南介绍了如何通过关闭Spectre和Meltdown缓解措施使Linux系统在Intel CPU上更快地运行。

警告 :
在实施以下解决方案之前,我必须警告你 - 这是高度不安全的,不建议这样做。这将禁用Intel CPU上的所有Spectre和Meltdown缓解措施,并使Linux系统对风险敞开大门。除非清楚地知道你在做什么,不要这样做。

如果您根本不关心安全性,请继续按照以下说明禁用缓解措施。

使Linux系统在Intel CPU上运行更快

使用你喜欢的文本编辑器编辑GRUB文件。

在Debian上,Ubuntu:


$ sudo nano /etc/default/grub

如果你使用的是Linux内核版本5.1.13及更新版本,请添加/编辑以下内核参数,如下所示:

GRUB_CMDLINE_LINUX="mitigations=off"

这将禁用所有可选的CPU缓解措施。

如果你使用的内核版本早于5.1.13,请添加/编辑以下内容:

GRUB_CMDLINE_LINUX="noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off tsx=on tsx_async_abort=off mitigations=off"

这些是内核参数,可用于禁用所有降低Linux系统速度的Spectre/Meltdown缓解措施。

有关每个标志的更多详细信息,请快速搜索google。

添加内核parameter之后,使用命令更新GRUB配置:

$ sudo update-grub

最后,重新启动系统:

$ sudo reboot

在CentOS和RHEL这样的RPM-based系统上,编辑/etc/sysconfig/grub文件:

$ sudo /etc/sysconfig/grub

在GRUB_CMDLINE_LINUX中添加上面的参数,然后使用命令更新GRUB配置:

$ sudo grub2-mkconfig

最后重新启动:

$ sudo reboot

在一些Linux系统中,需要在"GRUB_CMDLINE_LINUX_DEFAULT ="中添加这些内核参数。

我们现在已禁用所有"Spectre"和"Meltdown"缓解措施。这会稍微提高系统的性能,但也可能使用户面临多个CPU漏洞。

检查Spectre/Meltdown mitigations是否被禁用
我们可以使用"spectre-meltdown-checker"工具来帮助你识别Linux中的specre和missdown漏洞,在一些Linux发行版的官方存储库中可以找到它。

在Debian上,Ubuntu:

$ sudo apt install spectre-meltdown-checker

在CentOS上,RHEL:

$ sudo yum install epel-release
$ sudo yum install spectre-meltdown-checker

在Fedora上:

$ sudo dnf install $ sudo apt install spectre-meltdown-checker

安装spectre-meltdown-checker后,以root用户身份或以sudo权限运行它,以检查是否关闭了Spectre和Meltdown:

你应该看到如下所示的消息。

[...]
> STATUS: VULNERABLE (Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers)
[...]
> STATUS: VULNERABLE (IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability)
[...]
> STATUS: VULNERABLE (PTI is needed to mitigate the vulnerability)

或者,你可以检查Spectre/Meltdown漏洞,如下所示。

$ ls /sys/devices/system/cpu/vulnerabilities/

示例输出:

itlb_multihit l1tf mds meltdown spec_store_bypass spectre_v1 spectre_v2 tsx_async_abort

还有

$ grep . /sys/devices/system/cpu/vulnerabilities/*

示例输出:

/sys/devices/system/cpu/vulnerabilities/itlb_multihit:KVM: Vulnerable
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable; SMT Host state unknown
/sys/devices/system/cpu/vulnerabilities/meltdown:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable, STIBP: disabled
/sys/devices/system/cpu/vulnerabilities/tsx_async_abort:Not affected

运行一些基准测试,并检查你将获得的性能,然后决定是否有必要禁用所有功能。

我已经警告过:对于家庭或单用户计算机,此技巧是一个有用且明智的选择。但不建议用于生产系统。

参考:
在Intel CPU上,如何使Linux系统运行得更快
导致Linux 4.20性能下降的STIBP已被Kernel 4.19系列内核移除

grubby命令详解
太极淘的博客
11-26 3134
grubby命令详解
Linux 安全缓解机制总结
panhewu9919的博客
06-28 6577
学习资料: linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity 代码分析——各种安全机制 Linux每个版本对应的安全更新 linux安全机制的论文 防护研究团队: SELinux (NSA)、AppArmor
linux性能模式切换,openSUSE Leap 15.1为安装程序添加选项,用于切换性能下降的CPU缓解...
weixin_32974061的博客
05-12 445
在最新发布的openSUSE Leap 15.1中,他们为安装程序中增加了一个选项,可以围绕Spectre/Meltdown/foreremdow/Zombieload切换CPU缓解,以便在您选择保留最高性能同时采用安全措施时非常方便。但如果您希望获得最大安全性,它还允许从安装程序中禁用SMT/HT。今天在安装openSUSE Leap 15.1时,我有点惊讶地看到一个“CPU mitigatio...
LWN:改进CPU漏洞防护措施的配置方式!
最新发布
Linux News搬运工
03-31 769
用于选择缓解措施的内部逻辑 (internal logic) 也受到了审阅者的广泛关注,尽管仅以代码风格注释的形式出现,但也得到了清理。通过 Kaplan 的更改,功能应该相同,但是该实现已分为 "select" (选择) 、 "update" (更新) 和 "apply" (应用) 函数,用于内核知道的每种缓解措施。select 函数确定是否应启用缓解措施, update 函数允许根据已选择的其他缓解措施来更改缓解措施的特定配置,而 apply 函数则完成将缓解措施应用于内核的实际工作。
linux安全策略对性能的影响
InternalsOf
04-25 1399
https://unix.stackexchange.com/questions/554908/disable-spectre-and-meltdown-mitigations A number of kernel boot parameters are available to disable or fine-tune hardware vulnerability mitigations: for Spectre v1 and v2:nospectre_v1(x86, PowerPC),n...
CPU漏洞详解
宋宝华
10-03 5857
1. 导言性能测试对于 Linux 发行版来说至关重要,Alibaba Cloud Linux 2 也是如此。(Alibaba Cloud Linux 2 是阿里巴巴操作系统团队推出的一款...
Linux笔记--关闭系统漏洞补丁(Spectre & Meltdown补丁)
Young12138的博客
10-25 2595
关闭spectre、meltdown补丁
如何在 VMware 中安装 Kali Linux,附Kali Linux系统学习指南_vmware安装kali
2401_83974607的博客
04-20 1095
在 Windows 和 Linux 的 VMware 上安装 Kali Linux
高性能Linux:TCP/IP内核参数调优之Linux TCP内核参数解析
Bob Liu的程序人生
04-28 3649
内核参数
Intel - Mitigations for Jump Conditional Code Erratum - Revision 1.0 (Nov 2019)-计算机科学
04-22
White PaperRevision 1.0November 2019Mitigations for Jump Conditional Code ErratumWhite Paper November 20192 Document Number: 341810-001Intel provides these materials as-is, with no express or implied ...
[linux]基于Ubuntu24.04原内核6.8.0升级到6.9.0
06-11 3912
2、编译报错,在编译的过程碰到编译失败,不会像原来老的内核版本会报哪个文件哪行出问题,直接什么也没有,看不见(估计是方法不对),这个问题有点困扰,我直接apt update把内核升级,后边乱搞一通,不知怎么的这个问题又好了。3、机器性能不太好,编译可能比较耗时,一般是开始编译,然后跑出去搞其他事,或者看视频等等。1、编译的时候缺库,一般根据出错的原因百度或者其他搜索解决,这种问题容易些;
Linux内核可能会包含改进的Spectre/Meltdown开关
Listen2You的博客
05-18 995
当下一个Linux内核发布时,自从Spectre和Meltdown CPU推测执行漏洞公开并且缓解开始出现在内核中之后,大约需要一年半的时间。最后,现在上游开发人员正在讨论如何改进开关/可调节旋钮,以便轻松配置这些降低性能的缓解措施。 从一开始就可以在运行时禁用大部分这些缓解措施(对于Spectre V1的 __user指针清理没有这种缓解)但是使用的内核命令行参数并不是最简单或容易记住的......
linux ubuntu GRUB 系统的引导程序
05-26 2074
GRUB——系统的引导程序简单介绍 Linux启动 grub 虚拟文件系统initrd详解
Centos7.9内核更新之后出现异常
IForFree
05-05 4017
在EXSI虚拟机中进行内核升级测试,并未出现上述异常界面。在物理设备上的Centos7中进行内核升级出现上述异常界面。
如何解除 VMWare Player 的 side channel mitigations 提示
surfirst的博客
02-01 8360
运行 VMWare Player 时,你可能会看到下面的提示: 大意是打开 Mitigation 会影响虚机的性能,建议关掉,但是如果点击提示的链接按照上面的说法在虚机的 settings->advanced里面去找 Mitigation 的开关确怎么也找不到。也就是没办法关掉 Mitigation 了。 其实我们还可以通过修改虚机的 vmx 文件来关掉它。具体做法是先关掉(power off)虚机,然后找到虚机所在的文件夹,找到 vmx 文件,用文本编辑器打开它,然后加上下面的一行。最后再打开虚
Linux 如何判断是运行在物理机?还是虚拟机?
2301_76271832的博客
01-19 799
Linux 如何判断是运行在物理机?还是虚拟机?
linux系统查看服务器硬件信息记录
m0_56321289的博客
04-27 4128
Disk /dev/mapper/ubuntu--vg-ubuntu--lv:73.17 GiB,78563508224 字节,153444352 个扇区。Disk /dev/mapper/ubuntu--vg-lv--0:50 GiB,53687091200 字节,104857600 个扇区。Disk /dev/sda:7.28 TiB,8001563222016 字节,15628053168 个扇区。
Spectre V2 理论与实践
diamond_biu的博客
03-18 7067
检测系统是否存在Spectre相关漏洞 环境: VMWare Ubuntu18.04 使用spectre-meltdown-checker程序进行检测: ./spectre-meltdown-checker.sh 根据参考[1]中的方法禁用spectre的补丁: //修改内核启动参数 gedit /etc/default/grub //在 GRUB_CMDLINE_LINUX= 此行最后加入下面的参数: //noibrs noibpb nopti nospectre_v2 nospectre_v1 l1t
关于CPU相关漏洞的修复处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-05 993
问题描述 2018年1月,谷歌Project Zero公布了现代处理器存在安全漏洞Spectre与Meltdown。 Spectre攻击利用的是处理器的分支猜测和高速缓存技术。在执行指令的过程中,当遇到分支时,为了避免等到分支判断结束后再堵塞读取内存中的后续指令,处理器会进行分支猜测。spectre通过可利用的代码片段并对其进行训练,可以读取本来无法读取到的信息。 Meltdown是基于处理器的乱序执行和高速缓存技术,结合现代操作系统进程中内存管理技术制造的一个安全漏洞。meltdown可以绕过权限检查访问
linux-5.4.34内核
02-26
### Linux Kernel 5.4.34 Information The Linux kernel version 5.4.34 is a stable release that includes numerous improvements, bug fixes, and security patches over previous versions within the 5.x series[^1]. This particular iteration focuses on enhancing stability while addressing critical issues identified since the initial rollout of this long-term support (LTS) branch. #### Release Notes Highlights Key updates introduced in Linux kernel 5.4.34 encompass: - Enhanced driver compatibility for various hardware components. - Performance optimizations across multiple subsystems including networking stack enhancements. - Security vulnerability mitigations ensuring safer operations against potential threats. - Miscellaneous bug corrections impacting overall reliability and user experience positively. For detailed technical changes, one can refer to the official changelog provided by maintainers which documents each modification meticulously from commit messages submitted during development cycles leading up to final compilation into an officially supported build. #### Download Instructions To obtain the source code package associated with Linux kernel 5.4.34 directly from canonical repositories or mirrors maintained globally, users may follow these instructions tailored specifically towards acquiring verified archives suitable for compiling custom kernels as well as applying necessary configurations according to individual requirements: ```bash wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.4.34.tar.xz tar -xf linux-5.4.34.tar.xz cd linux-5.4.34/ make menuconfig # Customize configuration options here if needed before proceeding further ``` After preparing desired settings through `menuconfig`, continue building process using preferred methods documented extensively elsewhere regarding best practices when dealing with low-level operating system constructs like those found inside modern Unix-like environments such as GNU/Linux distributions today.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值