端科技您的位置:首页 >互联网 >

Linux内核获得了另一个禁用Spectre缓解的选项

信不信由你,幽灵级别的CPU漏洞的缓解现在是系统管理员的最大敌人。

尽管是以安全为中心的补丁,但已知这些缓解会给 Linux系统带来巨大的性能提升。

最近的一项基准测试表明,只有众多Specter缓解措施中的一种 - 即名为单线程间接分支预测器(STIBP)的缓解措施 - 为PHP服务器引入了30%的性能下降,导致系统管理员重新考虑应用其中一些补丁。

Linux内核获得了另一个禁用Spectre缓解的选项

尽管已有一年多的历史,但Meltdown或Spectre漏洞仍然是一个理论上的威胁,并且没有任何恶意软件或威胁演员曾经在真实世界的攻击中使用任何漏洞。

在过去的一年中,系统和网络管理员已经在Linux项目上调用了禁用这些保护的选项。

许多人认为这种威胁是理论上的,并且在某些情况下可以通过适当的外围防御轻松减轻。即使是Linus Torvalds也已经要求放松一些性能更强的Spectre缓解措施。

Linux内核团队对这些请求做出了积极的反应,并且一直在慢慢添加控件以禁用一些更有问题的缓解措施。

例如,自Linux Kernel 4.15起,管理员可以使用“nospectre_v2”内核命令行参数禁用内核对Spectre v2漏洞(CVE-2017-5715)的内置缓解。

自Linux Kernel 4.17起,管理员可以使用“nospec_store_bypass_disable”命令行参数禁用Specter v4(CVE-2018-3639)的所有缓解。

同样,在Linux内核4.19中添加了一种禁用Specter v1(CVE-2017-5753)缓解的方法,并添加了“nospectre_v1”参数。

尽管内核已经具有几个月的“spectre_v2”和“spec_store_bypass_disable”选项,系统管理员可以控制Spectre级缓解的复杂程度,也包括“关闭”模式的选项,但添加了这三个参数。

系统管理员希望有一种方法可以确保Spectre缓解措施根本无法启动,因此,最近的内核版本中有三个新参数。

有缓解的最新努力关闭--and留down--是加法的PR_SPEC_DISABLE_NOEXEC控制位的Linux内核。

尽管在父进程中被禁用,但该位将阻止子进程在仍然激活Specter v4的保护的状态下启动。

专家认为,某些流程不需要Spectre保护,性能影响远大于安全影响,尤其是在无法引入恶意代码的封闭系统中,例如图形渲染农场,离网超级计算机等严格限制的系统,其中没有运行第三方代码。

随着时间的推移,更多的这些控件最终会被添加到Linux内核中,因为Linux生态系统在保护和性能之间划清界限,允许服务器所有者选择他们想要的那一方。

但如果你是那些更喜欢安全性的人之一,美国国家安全局最近更新了其所有最近类似Spectre的CPU漏洞的一体化指导页面。这是一个了解这些缺陷的知识的好地方,并采取第一步措施来缓解这些缺陷。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。