Le mitigazioni software che rallentano il nostro sistema sono veramente utili?
Il 2018 è stato un anno di svolta per la sicurezza informatica, da quando sono state rivelate Meltdown e Spectre, le 2 principali vulnerabilità che hanno colpito direttamente molti modelli di microprocessori Intel e AMD. Il primo è stato risolto risolto definitivamente ma il secondo è impossibile da risolvere mentre il Simultaneous Multi Threading (SMT) è attivo, quindi la soluzione quella di realizzare mitigazioni su mitigazioni a livello del kernel Linux e di altri componenti del sistema operativo come micro-codici, driver e persino applicazioni.
Dopo 6 anni, la situazione relativa alle vulnerabilità che colpiscono i processori è peggiorata e ha acquisito una notevole complessità, soprattutto considerando le differenze tra le diverse generazioni e architetture di processori. Quindi, come riportato su Phoronix, gli ingegneri Intel che contribuiscono al kernel Linux hanno presentato delle patch in modo che il tipo di CPU e la sua topologia possano iniziare a essere presi in considerazione per determinare le mitigazioni da applicare a seconda delle vulnerabilità e dei core presenti.
Con l’approccio attuale si scopre che le mitigazioni vengono applicate a core che non ne hanno bisogno. Ad esempio, esiste una mitigazione che in realtà interessa solo i core efficienti all’interno di un processore ibrido di generazione Intel Raptor Lake, tuttavia il modello attuale di applicazione delle mitigazioni finisce per renderla attiva anche su un altro modello di processore equivalente o simile che implementa solo core ad alte prestazioni e nessun core efficiente, per cui quest’ultimo modello di CPU può avere prestazioni inferiori per motivi ingiustificati.
Continuando con l’esempio, che in definitiva è il caso presentato dalla stessa Intel nella sua presentazione delle patch, i processori Intel che implementano solo core ad alte prestazioni non dovrebbero avere applicata la mitigazione contro il Register File Data Sampling (RFDS) che si rivolge ai core efficienti e a quelli implementati nei modelli di processori Atom. Rimuovendo la mitigazione è possibile “guadagnare” in prestazioni (in realtà è più corretto dire non le perderebbe) sui processori che non ne hanno bisogno.
La complessa situazione relativa alle vulnerabilità che colpiscono i processori ha finito per richiedere una soluzione che attivi solo le mitigazioni necessarie a seconda dei casi. L’obiettivo presunto è quello di far funzionare il kernel Linux in modo più ottimale sui processori Intel.
Naturalmente ci auspichiamo che anche AMD segua la stessa strada perché le vulnerabilità come Spectre e Meltdown, così come altre vulnerabilità di esecuzione speculativa, possono influenzare sia i processori Intel che AMD, anche se ci sono alcune differenze in termini di impatto e di specifiche vulnerabilità che colpiscono i diversi tipi di processori.
Per esempio, la vulnerabilità Downfall colpisce i processori Intel dalla 6° all’11° generazione, mentre la vulnerabilità Inception colpisce solo le CPU AMD Zen 3 e Zen 4. Inoltre, è stata scoperta una vulnerabilità chiamata Retbleed che può sottrarre dati chiave da tutte le CPU di entrambi i produttori. Altre vulnerabilità come ÆPIC riguardano solo i processori Intel dalla 10° alla 12° generazione, mentre SQUIP colpisce tutti i processori AMD da Zen 1 a Zen 3 che si basano su SMT.
In generale, entrambi i produttori di processori rilasciano regolarmente aggiornamenti di sicurezza per mitigare queste vulnerabilità. Tuttavia, le patch di sicurezza possono avere un impatto sulle prestazioni del sistema, e questo impatto varia a seconda della vulnerabilità e del tipo di carico di lavoro.
È importante notare che, nonostante le somiglianze, ogni vulnerabilità ha le sue peculiarità e può richiedere misure di mitigazione specifiche. Pertanto, è consigliabile tenere il sistema operativo e il firmware del processore aggiornati con le ultime patch di sicurezza fornite dai produttori. Ma, ad onor del vero, non in tutte le situazioni.
Sul nostro sistema Linux casalingo le probabilità di venire attaccati sfruttando simili mitigazioni è assai remota per non dire praticamente inesistente. Sempre che non siamo spie al servizio di potenze straniere o simili 🙂
Quindi, forse non tutti sanno che è possibili disattivare le mitigazioni di sicurezza per i processori Intel e AMD nel kernel Linux. Per farlo è necessario aggiungere il parametro mitigations=off
alla linea di comando del kernel durante il boot.
Ecco come è possibile farlo dalla linea di comando del Terminale:
- Apri il file di configurazione del bootloader di Linux, che di solito è GRUB. Puoi farlo con un editor di testo, per esempio:
sudo nano /etc/default/grub
- Trova la linea che inizia con
GRUB_CMDLINE_LINUX_DEFAULT
e aggiungimitigations=off
alla fine della stringa di opzioni del kernel. Assicurati di mantenere le virgolette. Per esempio:GRUB_CMDLINE_LINUX_DEFAULT="quiet splash mitigations=off"
- Salva il file e chiudi l’editor
- Aggiorna GRUB per applicare le modifiche:
sudo update-grub
- Riavvia il sistema per applicare le modifiche
La disabilitazione delle mitigazioni di sicurezza può avere un impatto variabile sulle prestazioni del sistema Linux, a seconda del tipo di processore e del carico di lavoro. In generale, le mitigazioni possono influenzare le prestazioni perché introducono controlli aggiuntivi per proteggere contro le vulnerabilità.
Ma per i processori AMD Ryzen 7000, ad esempio, è stato osservato che l’applicazione delle mitigazioni di sicurezza in Linux può inaspettatamente portare a maggiori prestazioni. In particolare, il Ryzen 9 7950X ha mostrato prestazioni superiori del 3% con le mitigazioni abilitate rispetto a quando non lo erano. Tuttavia, questo non è un comportamento tipico e varia in base al processore e al tipo di attività eseguite.
Per altri processori e situazioni, la disabilitazione delle mitigazioni potrebbe portare a un miglioramento delle prestazioni, ma è difficile quantificare esattamente di quanto senza test specifici. Alcuni benchmark hanno mostrato miglioramenti nelle prestazioni che possono variare da minimi a significativi, ma questi risultati possono non essere universali per tutte le configurazioni o applicazioni. La media generale dell’impatto sulle prestazioni è stimata tra il 2% e il 6%.
Ma la disabilitazione delle mitigazioni di sicurezza può portare a miglioramenti significativi delle prestazioni in alcuni microprocessori, specialmente quelli più vecchi o quelli con architetture che sono particolarmente influenzate dalle contromisure di sicurezza. Ecco alcuni esempi di microprocessori che ne possono beneficiare ampiamente:
- Processori Intel di vecchia generazione: I processori più vecchi, come quelli della serie Intel Core i7 di 4° e 5° generazione, possono vedere un miglioramento delle prestazioni perché le mitigazioni per Spectre e Meltdown hanno un impatto maggiore su di essi.
- Processori AMD Ryzen di prima generazione: Anche i processori AMD Ryzen di prima generazione possono beneficiare della disabilitazione delle mitigazioni, poiché le patch di sicurezza possono ridurre le prestazioni di questi processori.
- Processori server: I processori progettati per i server, come gli Intel Xeon o gli AMD EPYC, possono mostrare miglioramenti nelle prestazioni quando le mitigazioni sono disabilitate, soprattutto in carichi di lavoro che richiedono un’elevata frequenza di operazioni di sistema, come la gestione della memoria virtuale.
In generale, i benchmark hanno mostrato che per alcuni processori e carichi di lavoro, la disabilitazione delle mitigazioni poteva portare a miglioramenti delle prestazioni che variavano dal 5% al 30%.
Ma in alcuni casi sono stati osservati aumenti siginificativi delle prestazioni fino al 39%. Ad esempio per la mitigazione di Retbleed. Questa specifica vulnerabilità Spectre, scoperta nel 2019, può causare un calo di prestazioni fino al 39% su processori AMD e Intel se le relative mitigazioni sono attivate.
Quindi, se lo ritenete opportuno, non vi resta che provare e vedere se il risultato è significativo o meno per il vostro sistema Linux.
Fonte: https://www.phoronix.com/news/Intel-Hybrid-Topology-Mitigate
Fonte: https://www.muylinux.com/2024/06/21/intel-mitigaciones-cpu-dinamicas/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.