Dengan AMD Zen 4, Sangat Tidak Bermanfaat Menonaktifkan Mitigasi Keamanan CPU

  • Post author:
  • Post category:Linux

Sementara beberapa penggemar Linux dengan bersemangat merekomendasikan pengguna untuk mem-boot sistem mereka dengan parameter kernel “mitigations=off” untuk menonaktifkan run-time dari berbagai mitigasi keamanan CPU yang relevan untuk Spectre, Meltdown, L1TF, TAA, Retbleed, dan teman-teman, dengan AMD Ryzen 7000 yang baru. Prosesor “Zen 4” sementara masih membutuhkan beberapa mitigasi perangkat lunak, secara mengejutkan lebih cepat untuk sebagian besar membiarkan mitigasi yang relevan diaktifkan.

Dengan prosesor AMD Zen 4 dan pengungkapan keamanan publik saat ini, Linux 6.0 pada CPU seri Ryzen 7000 telah menonaktifkan Speculative Store Bypass melalui prctl untuk mitigasi SSBD / Spectre V4 dan mitigasi Spectre V1 dari hambatan usercopy/SWAPGS dan sanitasi pointer __user. Kemudian untuk Spectre V2 terdapat Retpoline, Conditional Indirect Branch Predictor Barriers (IBPB), firmware IBRS, Always-on Single Threaded Indirect Branch Predictors (STIBP), dan pengisian return stack buffer (RSB). Itulah satu-satunya mitigasi keamanan perangkat lunak yang terlibat dengan Zen 4 saat ini dengan CPU baru yang tidak rentan terhadap berbagai kerentanan lain yang diketahui mempengaruhi CPU yang berbeda. Status mitigasi Zen 4 di Linux 6.0

Dengan Zen 4 Anda masih dapat mem-boot kernel dengan mitigasi=nonaktif untuk menonaktifkan mitigasi SSB, Spectre V1, dan Spectre V2 yang diterapkan sambil membiarkan sistem dalam status “rentan”. Sementara banyak rute ke pendekatan mitigasi = off untuk menghindari penalti kinerja yang dikaitkan dengan mitigasi yang berbeda, dalam kasus AMD Zen 4 pada Ryzen 9 7950X itu sebenarnya tidak bermanfaat. Yang sangat mengejutkan, status default/out-of-the-box dengan kontrol mitigasi umumnya lebih cepat daripada booting dengan mitigasi=off. Berikut adalah tolok ukur dengan perbedaan terukur: Berlari dengan mitigasi=off lebih cepat untuk beberapa tolok ukur sintetis seperti Stress-NG, OSBench, Sockperf, dan yang biasa lainnya. Tetapi mempertahankan status mitigasi default secara mengejutkan menghasilkan manfaat nyata untuk tolok ukur browser web, Stargate DAW, berbagai beban kerja OpenJDK, dan beban kerja lain yang biasanya melihat dampak kinerja dari berbagai mitigasi keamanan selama 4+ tahun terakhir. Mempertahankan status mitigasi default lebih cepat untuk sebagian besar tolok ukur yang diuji. Atau untuk rentang lebar 190 tolok ukur berbeda yang dilakukan, mempertahankan mitigasi default sekitar 3% lebih cepat secara keseluruhan daripada menjalankan dengan mitigasi=nonaktif. Pada dasarnya kebalikan dari apa yang biasanya kita lihat dengan prosesor lain yang lebih tua. Adapun mengapa mempertahankan mitigasi default mengarah ke Ryzen 9 7950X lebih cepat adalah pertanyaan yang bagus (biasanya sebaliknya!) Tetapi pertanyaan yang saya tidak repot-repot menggali lebih dalam dengan profil sistem karena kendala waktu dan pada akhirnya tidak terlalu penting karena untuk sistem produksi Anda harus benar-benar mengikuti rekomendasi keamanan default. Mereka yang ingin menggali 190 tolok ukur secara penuh dapat menemukan semua data saya di sini. Singkat cerita, dengan AMD Zen 4 tampaknya tidak ada gunanya melakukan booting dengan “mitigasi = mati” tetapi sebenarnya dapat berdampak negatif pada beberapa beban kerja dunia nyata.

Itulah berita seputar Dengan AMD Zen 4, Sangat Tidak Bermanfaat Menonaktifkan Mitigasi Keamanan CPU, semoga bermanfaat. Disadur dari Phoronix.com.