Цитата:
Сообщение от n3k0nation
Недавно мне в репы прилетело новое ядро с патчем на мелтдаун и спектру. Так как исправление данных дыр сжирает от 20% до 50% производительности на старых интел процах (ниже скайлейка), то оно ненужно (кроме того, это должно быть исправлено на аппаратном уровне, а сейчас мы имеем кучу костылей, которые убивают огромный процент перформанса).
К тому же, данные уязвимости актуальны только на серверах с виртуализацией, для домашних хомяков или серверов без виртуализации, это просто является потерей производительности.
Немного покопав гит кернеля линупса, нашел замечательные коммиты, которые через передачу параметров кернелю выключают "чудо-патчи":
https://git.kernel.org/pub/scm/linux...7cc83fefb8d537
https://git.kernel.org/pub/scm/linux...422eea71d473e0
Порядок действий на линупсах примерно такой: - Редактируем grub.cfg для передачи параметров:
Код:
$ su
# nano /etc/default/grub
- Далее вносим изменения в GRUB_CMDLINE_LINUX_DEFAULT, должно получится чето типа этого:
Код:
GRUB_CMDLINE_LINUX_DEFAULT="pti=off nospectre_v2"
Также, можно вместо nospectre_v2 заюзать:
- Сохраняем, выходим и ре-генерим скрипты груба:
Для винды сносим данные KB и больше никогда их не ставим:
Код:
KB4056892 <-- W10 / Server 2016
KB4056891 <-- W10
KB4056890 <-- W10 / Server 2016
KB4056888 <-- W10
KB4056893 <-- W10
KB4056898 <-- W8 / Server 2012 / W8 Embedded
KB4056895 <-- W8 / Server 2012 / W8 Embedded
KB4056897 <-- W7 / Server 2008 / W7 Embedded
KB4056894 <-- W7 / Server 2008 / W7 Embedded
|
OVH на свои образы накатывают эти патчи если что. Только что вот взяли сервер с 9 дебианом и там модифицированное ядро, где активированы патчи для фикса уязвимости.