Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Her mit euerem Fazit zu Meltdown und Spectre
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Mon Aug 27, 2018 9:52 am    Post subject: Reply with quote

Mittlerweile sind alle meine Rechner mit Updates versorgt, mit dem aktuellen Microcode-update und bis auf den ältesten Rechner schaut das überall so aus:

Code:
grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, IBRS_FW


Kernel 4.17.19 und intel-microcode Version: 20180807a_p20180808

Intel, ich bin zwar nicht ganz zufrieden mit der Art und Weise, aber dennoch ein Dank dafür das es im Laufe eines Jahres dann doch klappte, auch bei ca. 10 Jahre alten CPUs.

Wegen der Leistung: Das ist ärgerlich, aber ich nehme es lieber in Kauf, weil mir persönlich Sicherheit mehr wert ist als Leistung.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Wed Aug 29, 2018 6:55 pm    Post subject: Reply with quote

ChrisJumper wrote:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion

Bei mir sieht das anders aus:
grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Wed Aug 29, 2018 8:15 pm    Post subject: Reply with quote

Ergänzung: Nach
Code:
echo always >|/sys/module/kvm_intel/parameters/vmentry_l1d_flush

erhalte ich
grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: cache flushes, SMT disabled

was vermutlich langsamer aber sicherer ist. Leider habe ich weder eine Kernel-Option noch eine andere Möglichkeit in /etc/sysctl.d gefunden, die obige Kernel-Variable zu setzen.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Wed Aug 29, 2018 8:51 pm    Post subject: Reply with quote

Danke für den Hinweis mv!

Hab hier auf dem System den kvm Treiber gar nicht in Benutzung, wahrscheinlich deswegen.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Tue Sep 04, 2018 5:35 pm    Post subject: Reply with quote

Es gibt ein zugehöriges Kernel-Argument. Anscheinend sollte man dem Kernel inzwischen mindestens die beiden Argumente
Code:
spec_store_bypass_disable=on l1tf=full

übergeben, wenn man Sicherheit über Geschwindigkeit stellt. Es wundert mich, dass diese nicht Default sind, wo Linus sich doch lauthals beschwert hat, dass der sichere Modus nach den Intel-Patches auf den Intel-Prozessoren nur ein Opt-In und nicht der Default sei.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Sat Nov 17, 2018 10:15 pm    Post subject: Reply with quote

Fefe blogt über Sepctre und Meltdown, das laut Phoronix der neue 4.20er Linux Kernel teilweise 20 bis 50 Prozent Leistungseinbußen hat?! oO

Ich wollte zwar eh erst neue CPUs kaufen wenn diese auch eine Hardware Sicherung nutzen oder neue Technik haben. Aber ich fürchte langsam das uns das Thema in Zukunft noch länger begleiten wird. Vielleicht lohnt sich dann eine dedizierte Einrichtung für bestimmte Aufgaben und dort die Patches nicht zu nutzen aber die Umgebung zu härten oder die Daten vor der Verarbeitung zu prüften.
Back to top
View user's profile Send private message
firefly
Watchman
Watchman


Joined: 31 Oct 2002
Posts: 5165

PostPosted: Sun Nov 18, 2018 8:13 am    Post subject: Reply with quote

ChrisJumper wrote:
Fefe blogt über Sepctre und Meltdown, das laut Phoronix der neue 4.20er Linux Kernel teilweise 20 bis 50 Prozent Leistungseinbußen hat?! oO

Wobei das jetzt hauptsächlich Intel CPUs betrifft.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
mike155
Advocate
Advocate


Joined: 17 Sep 2010
Posts: 4438
Location: Frankfurt, Germany

PostPosted: Sun Nov 18, 2018 10:49 pm    Post subject: Reply with quote

ChrisJumper wrote:
teilweise 20 bis 50 Prozent Leistungseinbußen

Gut, dass Linus wieder da ist: https://lkml.org/lkml/2018/11/19/37
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Wed Nov 21, 2018 12:30 pm    Post subject: Reply with quote

Gibt es eigentlich irgendwelche Berichte darüber, dass es tatsächlich mal irgendwo zu Angriffen per MeltDown/Spectre gekommen ist?

Alle was ich bisher sehen konnte, sind konstruierte PoCs... Es wäre wirlich mal interessant wie praktisch die Gefahr wirklich ist, und wie viel graue Theorie hier uns das Fürchten lehrt.
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
Mgiese
Veteran
Veteran


Joined: 23 Mar 2005
Posts: 1607
Location: indiana

PostPosted: Wed Dec 12, 2018 12:13 am    Post subject: Reply with quote

spec_store_bypass_disable=on hilft nicht. Kernel 4.19.8 , GCC 8.2 zum Kernel bauen benutzt und immernoch :

Code:

/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable


jemand nen tipp ?

thanks
_________________
I do not have a Superman complex, for I am God not Superman :D

Ryzen9 7950x ; Geforce1650 ; kernel 6.5 ; XFCE
Back to top
View user's profile Send private message
Mgiese
Veteran
Veteran


Joined: 23 Mar 2005
Posts: 1607
Location: indiana

PostPosted: Wed May 15, 2019 6:52 pm    Post subject: Reply with quote

habe nun gentoo-sources 5.0.7 drauf, aber leider ist mein system immer noch nicht gefixt.

/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable

Code:
spec_store_bypass_disable=on l1tf=full
uebergebe ich an den kernel.

CPU : Intel Core i5-3470

aktuelle unstable firmware ist installiert : sys-firmware/intel-microcode-20180807a_p20190420


muss man eventuell ein microcodeupdate manuell anstossen ?

danke fuer infos
_________________
I do not have a Superman complex, for I am God not Superman :D

Ryzen9 7950x ; Geforce1650 ; kernel 6.5 ; XFCE
Back to top
View user's profile Send private message
firefly
Watchman
Watchman


Joined: 31 Oct 2002
Posts: 5165

PostPosted: Wed May 15, 2019 7:58 pm    Post subject: Reply with quote

AFAIK muss der microcode im kernel eingebunden werden, damit dieser beim systemstart den microcode in der cpu updaten kann.
https://wiki.gentoo.org/wiki/Intel_microcode

Daher muss man den kernel neu bauen, wenn ein update des intel-microcode paket installiert wurde.
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
Mgiese
Veteran
Veteran


Joined: 23 Mar 2005
Posts: 1607
Location: indiana

PostPosted: Wed May 15, 2019 9:21 pm    Post subject: Reply with quote

oh danke :)

Code:
General setup  --->
    [*] Initial RAM filesystem and RAM disk (initramfs/initrd) support
Processor type and features  --->
    <*> CPU microcode loading support
    [*]   Intel microcode loading support

emerge --ask --noreplace sys-firmware/intel-microcode sys-apps/iucode_tool

iucode_tool -S --write-earlyfw=/boot/early_ucode.cpio /lib/firmware/intel-ucode/*

grub-mkconfig -o /boot/grub/grub.cfg


und neustart :)

Code:
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp



danke sehr !
_________________
I do not have a Superman complex, for I am God not Superman :D

Ryzen9 7950x ; Geforce1650 ; kernel 6.5 ; XFCE
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3
Page 3 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum