Mentre alcuni Gli appassionati di Linux consigliano vivamente agli utenti di avviare i loro sistemi con il parametro del kernel”mitigations=off”per la disabilitazione in fase di esecuzione di varie mitigazioni di sicurezza della CPU rilevanti per Spectre, Meltdown, L1TF, TAA, Retbleed e amici, con il nuovo AMD Ryzen 7000″Zen Processori da 4″pur necessitando ancora di alcune mitigazioni software, è sorprendentemente più veloce per la maggior parte lasciando abilitate le mitigazioni pertinenti.
Con i processori AMD Zen 4 e le attuali divulgazioni sulla sicurezza pubblica, Linux 6.0 sulle CPU della serie Ryzen 7000 ha il bypass dello store speculativo disabilitato tramite prctl per la mitigazione SSBD/Spectre V4 e le mitigazioni Spectre V1 della copia utente/SWAPGS igienizzazione delle barriere e dei puntatori __utente. Quindi per Spectre V2 ci sono Retpolines, condizionali Indirect Branch Predictor Barriers (IBPB), firmware IBRS, sempre attivi Single Threaded Indirect Branch Predictor (STIBP) e riempimento del buffer di ritorno dello stack (RSB). Queste sono le uniche mitigazioni della sicurezza del software coinvolte con Zen 4 in questo momento con le nuove CPU che non sono vulnerabili all’assortimento di altre vulnerabilità note che interessano diverse CPU.
Lo stato di mitigazione di Zen 4 su Linux 6.0
Con Zen 4 puoi ancora avviare il kernel con mitigations=off per disabilitare le mitigazioni SSB, Spectre V1 e Spectre V2 applicate lasciando il sistema in uno stato”vulnerabile”. Mentre molti percorrono l’approccio mitigations=off per evitare le penalità prestazionali attribuite alle diverse mitigazioni, nel caso di AMD Zen 4 sul Ryzen 9 7950X non è effettivamente vantaggioso.
Con grande sorpresa, lo stato predefinito/pronto all’uso con i controlli di mitigazione era generalmente più veloce dell’avvio con mitigations=off. Ecco i benchmark con una differenza misurabile in entrambi i casi:
La corsa con mitigations=off è stata più veloce per alcuni benchmark sintetici come Stress-NG, OSBench, Sockperf e gli altri consueti. Ma mantenere lo stato di mitigazione predefinito ha sorprendentemente portato a un notevole vantaggio per i benchmark del browser Web, Stargate DAW, vari carichi di lavoro OpenJDK e altri carichi di lavoro che in genere hanno visto l’impatto sulle prestazioni delle diverse mitigazioni della sicurezza degli ultimi 4+ anni.
Il mantenimento dello stato di mitigazione predefinito è stato più rapido per la maggior parte dei benchmark testati.
O per l’ampia gamma di 190 diversi benchmark effettuati, mantenere le mitigazioni predefinite è stato complessivamente circa il 3% più veloce rispetto all’esecuzione con mitigations=off. Fondamentalmente l’opposto di ciò che vediamo normalmente con altri processori più vecchi. Per quanto riguarda il motivo per cui mantenere le attenuazioni predefinite attive sta portando il Ryzen 9 7950X più veloce è una buona domanda (normalmente è l’opposto!) Ma non mi ero ancora preoccupato di scavare più a fondo con la profilazione del sistema a causa di vincoli di tempo e, in definitiva, di non essere troppo importante poiché per i sistemi di produzione dovresti davvero attenerti ai consigli di sicurezza predefiniti.
Coloro che desiderano approfondire tutti i 190 benchmark possono trovare tutti i miei dati qui. Per farla breve, con AMD Zen 4 non sembra opportuno eseguire l’avvio con”mitigations=off”, ma in realtà può avere un impatto negativo su alcuni carichi di lavoro del mondo reale.
