Sebuah tambalan kernel Linux yang diusulkan akan menyediakan opsi waktu pembuatan Kconfig baru “CONFIG_DEFAULT_CPU_MITIGATIONS_OFF” untuk membangun kernel yang tidak aman jika ingin menghindari daftar peningkatan keamanan CPU dalam kernel dan overhead kinerja terkait.
Meskipun mempertaruhkan keamanan sistem, mem-boot kernel Linux dengan opsi “mitigations=off” telah populer untuk menghindari biaya kinerja Spectre, Meltdown, dan banyak kerentanan keamanan CPU lainnya yang terungkap dalam beberapa tahun terakhir. Menggunakan mitigasi = off memungkinkan penonaktifan run-time dari berbagai mitigasi keamanan dalam kernel untuk masalah CPU ini.
Tambalan yang diusulkan minggu ini akan memberikan CONFIG_DEFAULT_CPU_MITIGATIONS_OFF sebagai sakelar Kconfig yang secara opsional dapat diaktifkan untuk memiliki pengaruh yang sama dengan mitigasi=mati tetapi untuk diterapkan pada waktu pembuatan untuk menghindari kekhawatiran tentang menyetel bendera “mitigasi=mati”.
Breno Leitao, pengembang Debian dan insinyur kernel di Meta, mengirimkan tambalan yang menyediakan opsi ini. Breno menjelaskan:
“Saat ini tidak mungkin untuk menonaktifkan mitigasi kerentanan CPU pada waktu pembuatan. Mitigasi harus dinonaktifkan melalui parameter kernel, seperti `mitigations=off`.
Patch ini menciptakan cara mudah untuk menonaktifkan mitigasi selama waktu kompilasi (CONFIG_DEFAULT_CPU_MITIGATIONS_OFF), jadi, pengguna kernel yang tidak aman tidak perlu berurusan dengan parameter kernel saat mem-boot kernel yang tidak aman. , sangat disarankan untuk tetap menggunakan mitigasi default. Tetapi bagi mereka yang berada di lingkungan offline, menggunakan lingkungan perangkat lunak “sekali pakai”, atau skenario lain di mana keamanan tidak terlalu penting, menonaktifkan mitigasi ini dapat meningkatkan kinerja terutama untuk Intel yang menua ( dan pada tingkat yang lebih rendah, prosesor AMD dan Arm). Tolok ukur terbaru yang saya lakukan setelah peningkatan Pelacakan Kedalaman Panggilan pada Core i7 8700K dan Xeon E3 v5 menyertakan angka “mitigasi = mati” saat ini bagi mereka yang tertarik dengan dampak kinerja keseluruhan saat ini.
Itulah berita seputar Patch Linux yang Diusulkan Akan Mengizinkan Menonaktifkan Mitigasi Keamanan CPU Saat Build-Time, semoga bermanfaat. Disadur dari Phoronix.com.