Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Her mit euerem Fazit zu Meltdown und Spectre
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2173
Location: Germany

PostPosted: Mon Aug 27, 2018 9:52 am    Post subject: Reply with quote

Mittlerweile sind alle meine Rechner mit Updates versorgt, mit dem aktuellen Microcode-update und bis auf den ältesten Rechner schaut das überall so aus:

Code:
grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, IBRS_FW


Kernel 4.17.19 und intel-microcode Version: 20180807a_p20180808

Intel, ich bin zwar nicht ganz zufrieden mit der Art und Weise, aber dennoch ein Dank dafür das es im Laufe eines Jahres dann doch klappte, auch bei ca. 10 Jahre alten CPUs.

Wegen der Leistung: Das ist ärgerlich, aber ich nehme es lieber in Kauf, weil mir persönlich Sicherheit mehr wert ist als Leistung.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6240

PostPosted: Wed Aug 29, 2018 6:55 pm    Post subject: Reply with quote

ChrisJumper wrote:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion

Bei mir sieht das anders aus:
grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6240

PostPosted: Wed Aug 29, 2018 8:15 pm    Post subject: Reply with quote

Ergänzung: Nach
Code:
echo always >|/sys/module/kvm_intel/parameters/vmentry_l1d_flush

erhalte ich
grep -H . /sys/devices/system/cpu/vulnerabilities/l1tf wrote:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: cache flushes, SMT disabled

was vermutlich langsamer aber sicherer ist. Leider habe ich weder eine Kernel-Option noch eine andere Möglichkeit in /etc/sysctl.d gefunden, die obige Kernel-Variable zu setzen.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2173
Location: Germany

PostPosted: Wed Aug 29, 2018 8:51 pm    Post subject: Reply with quote

Danke für den Hinweis mv!

Hab hier auf dem System den kvm Treiber gar nicht in Benutzung, wahrscheinlich deswegen.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6240

PostPosted: Tue Sep 04, 2018 5:35 pm    Post subject: Reply with quote

Es gibt ein zugehöriges Kernel-Argument. Anscheinend sollte man dem Kernel inzwischen mindestens die beiden Argumente
Code:
spec_store_bypass_disable=on l1tf=full

übergeben, wenn man Sicherheit über Geschwindigkeit stellt. Es wundert mich, dass diese nicht Default sind, wo Linus sich doch lauthals beschwert hat, dass der sichere Modus nach den Intel-Patches auf den Intel-Prozessoren nur ein Opt-In und nicht der Default sei.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3
Page 3 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum