Um patch proposto para o kernel do Linux forneceria uma nova opção de tempo de compilação do Kconfig de”CONFIG_DEFAULT_CPU_MITIGATIONS_OFF”para criar um kernel inseguro se quiser evitar a lista crescente de mitigações de segurança da CPU no kernel e sua sobrecarga de desempenho associada.
Embora arrisque a segurança do sistema, inicializar o kernel do Linux com a opção”mitigations=off“tem sido popular para evitar os custos de desempenho de Spectre, Meltdown e muitas outras vulnerabilidades de segurança da CPU que surgiram à luz nos últimos anos. O uso de mitigations=off permite desabilitar em tempo de execução as várias mitigações de segurança no kernel para esses problemas de CPU.
Um patch proposto esta semana forneceria CONFIG_DEFAULT_CPU_MITIGATIONS_OFF como uma chave Kconfig que poderia opcionalmente ser habilitada para ter o mesmo efeito que mitigations=off, mas para ser aplicada em tempo de compilação para evitar ter que se preocupar em definir o”mitigations=off”sinalizador.
Breno Leitão, um desenvolvedor Debian e um engenheiro de kernel da Meta, enviou o patch fornecendo esta opção. Breno explicou:
“No momento não é possível desabilitar as mitigações de vulnerabilidades da CPU no momento da compilação. A mitigação precisa ser desabilitada passando parâmetros do kernel, como’mitigations=off’. maneira de desativar a mitigação durante o tempo de compilação (CONFIG_DEFAULT_CPU_MITIGATIONS_OFF), portanto, usuários de kernel inseguros não precisam lidar com parâmetros de kernel ao inicializar kernels inseguros.”
Para ambientes de produção e outras áreas onde a segurança é de qualquer nível de importância, certamente é recomendável aderir às atenuações padrão. Mas para aqueles em ambientes off-line, usando ambientes de software”descartáveis”ou outros cenários em que a segurança não é muito importante, desabilitar essas mitigações pode melhorar o desempenho, especialmente para processadores Intel antigos (e, em menor grau, AMD e Arm). Os benchmarks recentes que fiz após a melhoria do Call Depth Tracking no Core i7 8700K e Xeon E3 v5 incluem números atuais de”mitigações=desligado”para aqueles interessados no impacto geral atual do desempenho.
