Проблеми з обладнанням: розшифровка прихованих помилок

ПК, який зависає без попередження, сервер, який перезавантажується під навантаженням: за цими симптомами апаратні помилки часто ховаються краще, ніж шпигунське програмне забезпечення в розширенні Chrome.

З часів Spectre та Meltdown, прошивка, мікрокод та ядро ​​грають у гру в кішки-мишки з вразливостями, які ні Dell, ні Apple не можуть повністю викорінити.

Розшифровка цих несправностей стає обов’язковою для підтримки гідної продуктивності у 2025 році, особливо коли кожне автоматичне усунення вразливостей коштує мілісекунд… і кілька ват.

Проблеми з обладнанням: Айсберг під ядром

Сучасні процесори містять мільярди транзисторів; кожна оптимізація відкриває двері для спекулятивних атак.

Meltdown 2018, Spectre v2, Retbleed: так багато назв переслідують журнали змін Linux та BIOS Lenovo, HP або Asus.

З кожною новою вразливістю Microsoft, Samsung або Acer випускають мікрокод, який її виправляє, а потім ядро ​​додає патч для виправлення. Spectre, Meltdown: Живий бестіарій

Ядро 6.17 вже містить список 17 сімейств вразливостей, кожне з яких контролюється власним параметром командного рядка. Зі spectre_v2_user, spectre_bhi та іншими ми близькі до інвентаризації в стилі Prévert та фатальної друкарської помилки в Grub.

Apple, MSI та Toshiba регулярно публікують нотатки щодо продуктивності: виправлена ​​машина іноді працює на 15% повільніше, ніж до виправлення. Контроль вектора атак: прибирання скриньки ПандориЩоб уникнути перетворення /proc/cmdline на дадаїстську поему, ядро ​​вводить контроль вектора атак (AVC).

Одна директива, mitigations, оркеструє п’ять класів захисту: no_user_kernel, no_guest_host, no_cross_thread та два інших брата та сестри.

Це покращує читабельність, а також гнучкість: сервер без KVM може вимкнути no_guest_host та повернути дорогоцінні цикли. Продуктивність: куди йдуть втрачені потужності?

Кожне пом’якшення запобігає витоку спекулятивного коду, але змушує процесор частіше промивати свої конвеєри.

На ноутбуці Dell XPS вимкнення SMT через no_cross_thread показало пікове зниження температури корпусу на 10°C під час стрес-тесту, ціною жертвування віртуальними ядрами. У центрах обробки даних HP та Lenovo вимірюють вплив з точністю до вата; витрати на енергію іноді диктують політику безпеки. Діагностика апаратної помилки без осцилографа

Спорадичне зависання не обов’язково є панікою ядра; перш ніж звинувачувати драйвер, перевірте мікрокод.

dmesg | grep мікрокод

виявляє завантажену версію: якщо вона датована до 2024 року, недолік BHI все ще може ховатися. У Windows 11 інструмент Microsoft PC Health Check тепер відображає CVE, які все ще активні на стороні прошивки, що вперше схвалено спільнотою відкритого коду.

Коли вимикати, а не виправляти?

Середовища без віртуалізації, такі як графічна робоча станція Asus ProArt, можуть використовувати mitigations=no_guest_host для зменшення затримки графічного процесора.

І навпаки, гіпервізор VMware на Acer або Samsung повинен підтримувати ці захисти, навіть якщо віртуальні машини повільні.

Компроміс між безпекою та продуктивністю тепер визначається залежно від робочого навантаження, а не розподілу.

Джерело: www.heise.de