Mientras que algunos Los entusiastas de Linux recomiendan con entusiasmo a los usuarios que inicien sus sistemas con el parámetro de kernel”mitigations=off”para desactivar en tiempo de ejecución varias mitigaciones de seguridad de CPU relevantes para Spectre, Meltdown, L1TF, TAA, Retbleed y amigos, con el nuevo AMD Ryzen 7000″Zen Los procesadores de 4″si bien todavía necesitan algunas mitigaciones de software, es sorprendentemente más rápido en su mayor parte dejando habilitadas las mitigaciones relevantes.
Con los procesadores AMD Zen 4 y las divulgaciones de seguridad públicas actuales, Linux 6.0 en las CPU de la serie Ryzen 7000 tiene el desvío de almacenamiento especulativo deshabilitado a través de prctl para la mitigación de SSBD/Spectre V4 y Spectre V1 de copia de usuario Barreras/SWAPGS y sanitización de punteros de __usuario. Luego, para Spectre V2 hay Retpolines, barreras condicionales de predictor de rama indirecta (IBPB), firmware IBRS, predictores de rama indirecta de un solo subproceso (STIBP) siempre activos y llenado de búfer de pila de retorno (RSB). Esas son las únicas mitigaciones de seguridad de software involucradas con Zen 4 en este momento, ya que las nuevas CPU no son vulnerables a la variedad de otras vulnerabilidades conocidas que afectan a diferentes CPU.
El estado de mitigación de Zen 4 en Linux 6.0
Con Zen 4 aún puede iniciar el kernel con mitigations=off para deshabilitar las mitigaciones de SSB, Spectre V1 y Spectre V2 aplicadas mientras deja el sistema en un estado”vulnerable”. Si bien muchos optan por el enfoque mitigations=off para evitar las penalizaciones de rendimiento atribuidas a las diferentes mitigaciones, en el caso de AMD Zen 4 en el Ryzen 9 7950X, en realidad no es beneficioso.
Para mucha sorpresa, el estado predeterminado/listo para usar con los controles de mitigación fue generalmente más rápido que arrancar con mitigations=off. Estos son los puntos de referencia con una diferencia medible en ambos sentidos:
Ejecutar con mitigations=off fue más rápido para algunos puntos de referencia sintéticos como Stress-NG, OSBench, Sockperf y los otros habituales. Pero mantener el estado de mitigación predeterminado resultó sorprendentemente en un beneficio notable para los puntos de referencia del navegador web, Stargate DAW, varias cargas de trabajo de OpenJDK y otras cargas de trabajo que generalmente han visto impactos en el rendimiento de las diferentes mitigaciones de seguridad de los últimos 4+ años.
Mantener el estado de mitigación predeterminado fue más rápido para la mayoría de los puntos de referencia probados.
O para la amplia gama de 190 puntos de referencia diferentes llevados a cabo, mantener las mitigaciones predeterminadas fue aproximadamente un 3 % más rápido en general que ejecutar con mitigaciones=desactivadas. Básicamente lo contrario de lo que normalmente vemos con otros procesadores más antiguos. En cuanto a por qué mantener activadas las mitigaciones predeterminadas hace que el Ryzen 9 7950X sea más rápido es una buena pregunta, pero no me había molestado en profundizar aún más con la creación de perfiles del sistema debido a limitaciones de tiempo y, en última instancia, no es demasiado importante ya que para los sistemas de producción usted realmente debería mantener las recomendaciones de seguridad predeterminadas.
Aquellos que deseen profundizar en los 190 puntos de referencia en su totalidad pueden encontrar todos mis datos aquí. Pero para resumir, con AMD Zen 4 no parece que valga la pena arrancar con”mitigations=off”pero, de hecho, puede afectar negativamente algunas cargas de trabajo del mundo real.
