Meltdown και Spectre
#11
Τα tests της phoronix έδειξαν πάντως καθυστέρηση 10-30% σε κάθε πατσαρισμένο πυρήνα. Επιπλέον (αν δεν κάνω λάθος), έδειξαν ότι στο spectre (και όχι στο meltdown) είναι ευπαθείς και κάποιοι AMD καθώς και κάποιοι arm64 πολλαπλής επεξεργασίας. Το μόνο σίγουρο είναι ότι δεν επηρεάζονται οι μονοπύρηνοι arm.
СМЕРТЬ НАСИПЬИКАМ ТРУДЯШИХСЯ
  Απάντηση
#12
Soulrain Falls, post: 28897, member: 1313 είπε κι ελάλησε:Το patch είναι ουσιαστικά workaround και όχι fix, γιατί το πραγματικό fix θα έρθει από τους κατασκευαστές επεξεργαστών. Αντί να κάνει κατευθείαν αυτό που θα έπρεπε να κάνει το σύστημα (και να υπάρχει η πιθανότητα να τύχει στραβή), πάει γύρω-γύρω. Γι' αυτό και η καθυστέρηση. Εξαρτάται από το είδος χρήσης όμως. Άλλους δεν τους επηρεάζει καθόλου κι άλλοι έχουν μέχρι και 30% καθυστέρηση.

ελα... ειμαι ΤΟΣΟ ιδιοφυια, που εντυπωσιαζω ακομα και τον εαυτο μου :D:pEek τελικα αυτο που εψαχνα για ωρες ηταν, οτι ηθελε αντι για «pti=off» να το βαλω «pti=on», για να ενεργοποιηθει. εκανα επανεκκινηση, εκανα cold boot, αλλα εγω τουλαχιστον δεν ειδα καμια διαφορα, ουτε στον default, ουτε στον liquorix (μαλλον ειμαι απο τους τυχερους). και πλεον αναφερει και ο liquorix στα logs οτι το εχει ενεργο (ενω αν δεν βαλω το «pti=on», δεν αναφερει τιποτα)

το ξρω οτι ειναι software workaround αυτο. αλλα απο το τιποτα κατι ειναι και αυτο. οχι το σωστοτερο, αλλα υποθετω αρκει μεχρι να βρεθει μονιμη λυση. το ξερω οτι το προβλημα ειναι στον ιδιο τον επεξεργαστη. ισως να «λυθει» με κανα bios upgrade στις μητρικες που υποστηριζονται απο τους κατασκευαστες (δεν ειναι επανασχεδιασμος hardware, που θα ηταν το σωστοτερο, αλλα υποθετω οτι ειναι πολυ καλυτερο απο το software workaround στο λειτουργικο)
ονομαζομαι DarkGoth, και ειμαι «καλα»( ; )... το OsArena με θεραπευσε... (goth=!ok {equals} EMO)...  Emo
  Απάντηση
#13
debianass, post: 28898, member: 1803 είπε κι ελάλησε:Τα tests της phoronix έδειξαν πάντως καθυστέρηση 10-30% σε κάθε πατσαρισμένο πυρήνα. Επιπλέον (αν δεν κάνω λάθος), έδειξαν ότι στο spectre (και όχι στο meltdown) είναι ευπαθείς και κάποιοι AMD καθώς και κάποιοι arm64 πολλαπλής επεξεργασίας. Το μόνο σίγουρο είναι ότι δεν επηρεάζονται οι μονοπύρηνοι arm.
Το Phoronix έδωσε αυτό, η Red Hat όμως, που όσο να 'ναι μια εξειδίκευση σε κάποια περιβάλλοντα την έχει, δίνει από 0-20% ανάλογα με το workload. Αν χρησιμοποιείς πολλά πράγματα που με τη σειρά τους μιλάνε πολύ στη μνήμη του πυρήνα, θα σούρνεται. Αν όχι, μπορεί και να μην καταλάβεις τίποτα.
Το άπλυτο κορμί το πλένεις. Καθαρίζει. Η βρόμικη ψυχή πώς πλένεται;
  Απάντηση
#14
Σήμερα μόλις δοκίμασα ένα υβριδικό stretch-porteus που πειραματίζομαι με τον πατσαρισμένο 4.9.0-5 kernel και πραγματικά σέρνεται. Βέβαια στο συγκεκριμένο ο πυρήνας ενσωματώνει και το patch που διαβάζει και κάνει mount τα squashfs modules. Προφανώς χρησιμοποιεί αρκετά την cache του kernel. Το htop έδειχνε μονίμως 100% στους επεξεργαστές οπότε επέστρεψα στον 4.9.0-4.
СМЕРТЬ НАСИПЬИКАМ ТРУДЯШИХСЯ
  Απάντηση
#15
Έφτασε το fix της intel για linux, σε μορφή μικροκώδικα (microcode) τον οποίο μπορούμε να κατεβάσουμε από την ιστοσελίδα της intel.
Το fix μέχρι στιγμής διατίθεται για Debian 8 και 7 (jessie και wheezy), ενώ δεν αναφέρεται κάπου η έκδοση 9 (stretch). Μάλλον θα διατεθεί αργότερα.
Ολες οι διανομές για τις οποίες προορίζεται:
Red Hat Enterprise Linux 6.2x-7.4x
Red Hat Linux
SUSE Linux
SUSE Linux Enterprise Server 11x - 12 SP3x
CentOS 7x
Chromium OS
Debian 7.x - 8.x
Fedora 23 - 24
Google Chrome OS
Ubuntu 14.04 - 16.04
Ubuntu x

Πως θα το εγκαταστήσουμε
Εαν χρησιμοποιούμε κάποια από τις παραπάνω διανομές:

1. Βρίσκουμε το μοντέλο του επεξεργαστή μας (ενδεικτικά) με την εντολή:
Κώδικας:
cat /proc/cpuinfo | grep "model name"

2. Επιβεβαιώνουμε ότι υπάρχει στο σύστημά μας το αρχείο /dev/cpu/microcode

3. Κατεβάζουμε το καταλληλο για τον επεξεργαστή μας αρχείο microcode.dat από: https://downloadcenter.intel.com/downloa...-Data-File

4. Εισάγουμε τα δεδομένα στο /dev/cpu/microcode με την εντολή:
Κώδικας:
sudo dd if=microcode.dat of=/dev/cpu/microcode bs=1M
Εδώ εννοείται ότι συμπληρώνουμε τη διαδρομή που έχουμε αποθηκεύσει το microcode.dat, π.χ. if=/home/username/Downloads/microcode.dat .....

5. Αφού ολοκληρωθεί η παραπάνω διαδικασία επανεκκινούμε το σύστημά μας.

Υπάρχει κι άλλος τρόπος με ενημέρωση του BIOS. Προς το παρόν δε θα δοκίμαζα πάντως μια διαδικασία που μπορεί να αποβεί μη-αναστρέψιμη όπως η ενημέρωση του BIOS. Θα περιμένω να ενημερωθώ από άλλους που το δοκίμασαν πρώτα.

Αν δεν αναφέρεται στις υποστηριζόμενες διανομές η δική σας, δεν υπάρχει λόγος να βιαστείτε. Ούτως ή άλλως, όπως ειπώθηκε, το πρόβλημα είναι γνωστό τουλάχιστον 8 μήνες τώρα, μπορεί να περιμένει ακόμα λίγες μέρες.

Υπόψην ότι για την έκδοση 8x (jessie) του Debian σήμερα βγήκε pached kernel για το meltdown και άλλες 14 "τρύπες" ασφαλείας*. Η ενημέρωση** γίνεται με το γνωστό τρόπο:

Κώδικας:
sudo apt-get update
sudo apt-get dist-upgrade

*Ο λόγος για τα κενά ασφαλείας που έχουν καταχωρηθεί με τους κωδικούς: CVE-2017-8824, CVE-2017-15868, CVE-2017-16538, CVE-2017-16939 CVE-2017-17448, CVE-2017-17449, CVE-2017-17450, CVE-2017-17558, CVE-2017-17741, CVE-2017-17805, CVE-2017-17806, CVE-2017-17807 CVE-2017-1000407 και CVE-2017-100041. Δεν περιλαμβάνεται ακόμα το Spectre.

**Μετά την ενημέρωση ο kernel της oldstable (jessie) θα βρίσκεται στην έκδοση 3.16.51-3+deb8u1.

Edit: Πολύ σύντομα (αν δε συμβαίνει ήδη), τα fix της intel θα διατίθενται από τα αποθετήρια των διανομών. Σ'αυτή την περίπτωση ενεργοποιούμε τα non-free αποθετήρια της διανομής μας.
Ανοίγουμε το /etc/apt/sources.list
Κώδικας:
gksudo gedit /etc/apt/sources.list
ή
kdesudo gedit /etc/apt/sources.list
ή
gksudo pluma /etc/apt/sources.list
ή
kdesudo leafpad /etc/apt/sources.list
ή
sudo nano /etc/apt/sources.list
εντοπίζουμε τις πηγές της διανομής πχ.(debian)

Κώδικας:
deb https://http.debian.org/debian stable main contrib
και προσθέτουμε το non-free
Κώδικας:
deb https://http.debian.org/debian stable main contrib non-free
αποθηκεύουμε και
Κώδικας:
sudo apt-get update
sudo apt-get dist-upgrade
СМЕРТЬ НАСИПЬИКАМ ТРУДЯШИХСЯ
  Απάντηση
#16
debianass, post: 28903, member: 1803 είπε κι ελάλησε:Έφτασε το fix της intel για linux, σε μορφή μικροκώδικα (microcode) τον οποίο μπορούμε να κατεβάσουμε από την ιστοσελίδα της intel.
Το ιδανικότερο ως λογική για το Linux είναι να περιμένεις αναβάθμιση του σχετικού πακέτου από τη διανομή σου και να μην κατεβάζεις από τρίτες σελίδες, έστω κι αν πρόκειται για την Intel. «Όλες» οι διανομές εμπεριέχουν πακέτο για το microcode και η αναβάθμισή του γίνεται μέσα από τον package manager, χωρίς να χρειάζεται dd και οποιαδήποτε άλλη παρέμβαση. Σε Debianοειδή λογικά χρειάζεται να ενεργοποιήσεις το non-free αποθετήριο. Περισσότερα εδώ.

Ούτε αυτό είναι τελικό fix πάντως. Κάτι τέτοιο θα χρειαστεί επανασχεδιασμό επεξεργαστών (και, με δεδομένο ότι αυτό κοστίζει, η Intel λογικά θα το τραβήξει όσο παίρνει).
Το άπλυτο κορμί το πλένεις. Καθαρίζει. Η βρόμικη ψυχή πώς πλένεται;
  Απάντηση
#17
debianass, post: 28903, member: 1803 είπε κι ελάλησε:Υπόψην ότι για την έκδοση 8x (jessie) του Debian σήμερα βγήκε pached kernel για το meltdown και άλλες 14 "τρύπες" ασφαλείας*. Η ενημέρωση** γίνεται με το γνωστό τρόπο:

Κώδικας:
sudo apt-get update
sudo apt-get dist-upgrade

*Ο λόγος για τα κενά ασφαλείας που έχουν καταχωρηθεί με τους κωδικούς: CVE-2017-8824, CVE-2017-15868, CVE-2017-16538, CVE-2017-16939 CVE-2017-17448, CVE-2017-17449, CVE-2017-17450, CVE-2017-17558, CVE-2017-17741, CVE-2017-17805, CVE-2017-17806, CVE-2017-17807 CVE-2017-1000407 και CVE-2017-100041. Δεν περιλαμβάνεται ακόμα το Spectre.

**Μετά την ενημέρωση ο kernel της oldstable (jessie) θα βρίσκεται στην έκδοση 3.16.51-3+deb8u1.

σημερα; και το προχθεσινο που εκανα στο σαπιο μου (debian8), kernel update ηταν. βγηκε κι'αλλο kernel update για το σαπιο;
ονομαζομαι DarkGoth, και ειμαι «καλα»( ; )... το OsArena με θεραπευσε... (goth=!ok {equals} EMO)...  Emo
  Απάντηση
#18
Soulrain Falls, post: 28905, member: 1313 είπε κι ελάλησε:Το ιδανικότερο ως λογική για το Linux είναι να περιμένεις αναβάθμιση του σχετικού πακέτου από τη διανομή σου και να μην κατεβάζεις από τρίτες σελίδες, έστω κι αν πρόκειται για την Intel. «Όλες» οι διανομές εμπεριέχουν πακέτο για το microcode και η αναβάθμισή του γίνεται μέσα από τον package manager, χωρίς να χρειάζεται dd και οποιαδήποτε άλλη παρέμβαση. Σε Debianοειδή λογικά χρειάζεται να ενεργοποιήσεις το non-free αποθετήριο. Περισσότερα εδώ.

Ούτε αυτό είναι τελικό fix πάντως. Κάτι τέτοιο θα χρειαστεί επανασχεδιασμό επεξεργαστών (και, με δεδομένο ότι αυτό κοστίζει, η Intel λογικά θα το τραβήξει όσο παίρνει).

Σωστά, η πιο ασφαλής πρακτική είναι η αναβάθμιση από τους προγραμματιστές της διανομής.

DarkGoth, post: 28906, member: 1051 είπε κι ελάλησε:σημερα; και το προχθεσινο που εκανα στο σαπιο μου (debian8), kernel update ηταν. βγηκε κι'αλλο kernel update για το σαπιο;

Αν έχεις την έκδοση kernel 3.16.51-3+deb8u1 εννοείται ότι δε χρειάζεται άλλη ενημέρωση. Προσωπικά τρέχω jessie στους servers, σε AMD επεξεργαστές και θα τους αναβαθμίσω όταν βγεί και το patch για το Spectre.

Επειδή σε κάποιο workstation τρέχω jessie με χειροποίητο kernel 4.7(και δε θέλω να αλλάξω kernel), θα τον αναβαθμίσω με το fix της intel.

Σε περίπτωση που θέλουμε αυξημένη ασφάλεια, π.χ. συναλλαγές μεγάλων ποσών online, σύνδεση wallet κρυπτονομισμάτων, αναλήψεις ευθύνης για επαναστατικές ενέργειες κλπ, ο μόνος σίγουρος τρόπος είναι η χρήση μονοπύρηνου arm, π.χ. Raspberry pi, με όλα τα απαραίτητα μέτρα προστασίας (tor, vpn κλπ).
СМЕРТЬ НАСИПЬИКАМ ТРУДЯШИХСЯ
  Απάντηση
#19
Κώδικας:
debian@osiris:~$  uname -a
Linux osiris 3.16.0-5-amd64 #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08) x86_64 GNU/Linux
debian@osiris:~$

ναι αυτην εχω. αυτην με εβγαλε προχθες. το θυμαμαι καλα, γιατι την περασα χειροκινητα στον extlinux. σκαλωσα επειδη ειπες «σημερα», και λεω, βγαλανε και αλλο update; οταν βγει update για το spectre, θα βγει και για το σαπιο; γιατι δεν ειδα στον bugtracker του debian να διευκρινιζουν κατι (τουλαχιστον οχι προχθες που το ειχα κοιταξει). λενε γενικα οτι θα βγει update, αλλα οχι για τι. ενω στο meltdown το ανεφεραν εξαρχης, οτι θα βγει ξεχωριστο update για το σαπιο.

απο περιεργεια θα κοιταξω και αυτο με το microcode. δεν εχω ιντελ, αλλα υπαρχει και πακετακι amd-microcode στον synaptic. το εγκατεστησα (στον εξομοιωτη βεβαια, οχι στο βασικο, μην κανω καμια μαλακια), τον ξεκινησα, και τρεχει κανονικα. αλλα δεν βρισκω microcodes της AMD στο ιντερνετς. ξερει κανεις αν υπαρχουν καπου «επισημα»; να το κατεβασω και να το εγκαταστησω, για αν δω αρχικα αν τρεχει το συστημα, και μετα αν επαναφερει το default, η επανεγκατασταση του «εργοστασιακου» microcode απο τον synaptic.
ονομαζομαι DarkGoth, και ειμαι «καλα»( ; )... το OsArena με θεραπευσε... (goth=!ok {equals} EMO)...  Emo
  Απάντηση
#20
DarkGoth, post: 28908, member: 1051 είπε κι ελάλησε:
Κώδικας:
debian@osiris:~$  uname -a
Linux osiris 3.16.0-5-amd64 #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08) x86_64 GNU/Linux
debian@osiris:~$

ναι αυτην εχω. αυτην με εβγαλε προχθες. το θυμαμαι καλα, γιατι την περασα χειροκινητα στον extlinux. σκαλωσα επειδη ειπες «σημερα», και λεω, βγαλανε και αλλο update; οταν βγει update για το spectre, θα βγει και για το σαπιο; γιατι δεν ειδα στον bugtracker του debian να διευκρινιζουν κατι (τουλαχιστον οχι προχθες που το ειχα κοιταξει). λενε γενικα οτι θα βγει update, αλλα οχι για τι. ενω στο meltdown το ανεφεραν εξαρχης, οτι θα βγει ξεχωριστο update για το σαπιο.

απο περιεργεια θα κοιταξω και αυτο με το microcode. δεν εχω ιντελ, αλλα υπαρχει και πακετακι amd-microcode στον synaptic. το εγκατεστησα (στον εξομοιωτη βεβαια, οχι στο βασικο, μην κανω καμια μαλακια), τον ξεκινησα, και τρεχει κανονικα. αλλα δεν βρισκω microcodes της AMD στο ιντερνετς. ξερει κανεις αν υπαρχουν καπου «επισημα»; να το κατεβασω και να το εγκαταστησω, για αν δω αρχικα αν τρεχει το συστημα, και μετα αν επαναφερει το default, η επανεγκατασταση του «εργοστασιακου» microcode απο τον synaptic.

status update:. για καποιο λογο, το microcode αναγνωριζεται μονο απο τον liquorix. ο default δεν το αναγνωριζει.
ονομαζομαι DarkGoth, και ειμαι «καλα»( ; )... το OsArena με θεραπευσε... (goth=!ok {equals} EMO)...  Emo
  Απάντηση


Πάμε στο Forum:


Πλάσματα σουλατσάρουν στο νήμα: 1 Επισκέπτης(ες)