Как отключить защиту от spectre\meltdown?

Question

[vlarkanov]

Debian 9, ядро 4.17
Вычитал вот такие параметры ядра: "nospectre_v2","nospec_store_bypass_disable" и "nospectre_v1" - но не понял куда их необходимо прописать.

Comments

[sim3x]

Не поняли - значит вам не стоит таким пока что заниматься

Answer 1

[ТыжСисАдмин]

В /etc/default/grub - GRUB_CMDLINE_LINUX_DEFAULT

Comments

[Asparagales]

У меня такой строки нет. Добавить? Есть только GRUB_CMDLINE_LINUX, но у меня не Debain. А как точно написать? В кавычках, без кавычек, через запятую или с пробелами?

[ТыжСисАдмин]

GRUB_CMDLINE_LINUX="nospectre_v2"
Разделение пробелом, сделайте бэкап.
По хорошему качнуть пакет с сорцами ядра и посмотреть есть ли там реализация данных параметров, хотя если нет то по идее должно просто не помочь.
P.S. Удалёно это делать нельзя )

[Asparagales]

ТыжСисАдмин, К вышеперечисленным параметрам еще советуют добавить nopti или pti=off для отключения защиты Meltdown и l1tf=off для отключения защиты L1TF.

Чтобы посмотреть есть ли защита от этих уязвимостей, нужно выполнить команду
grep . /sys/devices/system/cpu/vulnerabilities/*
Команда сработает для относительно новых версиях ядра.

[ТыжСисАдмин]

Asparagales, Да, согласен насчёт pti, забыл про него :)

Answer 2

[CityCat4]

В параметры загрузки ядра - не знаю, куда Вы их прописываете, я прописываю в /etc/default/grub, в строку GRUB_CMDLINE_LINUX. Есть еще параметр nopti, который отключает Kernel Page Table Isolation. Не забудьте grub_mkconfig, если нужно.