A certain engineer "COMPLEX"

開発メモ その205 LinuxでCPU脆弱性対策を無効にしてみる

タイトル通り

Introduction


流石に仕事で全部無謀にすることがあるのか、と思いますがネットワークから完全に隔離されているマシンとかならありではと思わなくも無い。

How to do?


親切な方の記事は下記。

###### tags: `Linux` LinuxでSpectreの遅くなる脆弱性対策を無効化して速くする === Linuxは、**カーネルパラメータ**に脆弱性対策を無効化するオプションを渡

各パラメータの意味は自分で調べました。

  • nopti
    • Page Table Isolation を無効
  • noibpb
    • Indirect Branch Prediction Barriers を無効
  • noibrs
    • Indirect Branch Restricted Speculation を無効
  • nospectre_v2
    • Spectre バリアント 2 (Indirect Branch Speculation) 脆弱性に対する緩和策をすべて無効
  • nospec_store_bypass_disable
    • 投機的ストアバイパス脆弱性に関する軽減策をすべて無効

面倒なので全部無効にします (白目)
手順は下記。

/etc/default/grubGRUB_CMDLINE_LINUX にこれらの引数を追加してします。
なおこの設定は永続的になります。
下記は全部の脆弱性に対する全ての緩和対策(つまり脆弱性を受ける可能性の低減)を無効にします。

個別に無効にするなら下記のように、上述のパラメータを半角で区切ります。

編集後、sudo update-grubして再起動が必要です。

脆弱性対策が無効にされたかどうかは下記ののよう、スクリプトをダウンロードして実行するとわかります。

コメントを残す

メールアドレスが公開されることはありません。

%d人のブロガーが「いいね」をつけました。