# Kernel-Parameter mitigations=[auto|auto,nosmt|off]

## flammenflitzer

Hallo, mit Kernel 5.2 soll es die og. Option geben.  *Quote:*   

> Neu ist auch Kernel-Parameter mitigations=[auto|auto,nosmt|off], der sich auf alle Gegenmaßnahmen für Prozessorlücken auswirkt, die in den letzten eineinhalb Jahren bekannt geworden sind. Die fressen in manchen Umgebungen viel Geschwindigkeit. Diesen Performanceverlust kann man daher vermeiden, wenn man dem Kernel beim Start den Parameter mitigations=off mitgibt. Das ist einfacher, als die verschiedenen Schutzmaßnahmen über ihre individuellen Parameter zu deaktivieren

 . Ich bin beim Thema nicht fit. Kann ich das beim Desktopsystem ohne weiteres machen? MfG.

----------

## firefly

Machen kannst du es. Ob es für deinen Anwendungsfall die richtige Entscheidung ist, musst du wissen.

----------

## schmidicom

Wenn du auf deinem Desktop Programme/Scripte aus unbekannter und/oder nicht vertrauenswürdiger Quelle ausführst (z.B. Browser mit JavaScript-Unterstützung) ist es vermutlich keine so gute Idee alles gleich ganz abzuschalten.

PS: Ich finde es eine Frechheit das sich inzwischen der User zwischen Bugfixing oder Performance entscheiden muss...

----------

## flammenflitzer

Danke.

----------

## Josef.95

Das ist doch schon in nahezu allen aktuellen Kernelversionen verfügbar.

Die Gentoo-Devs haben auch fein vorbereitet, und unterstützte Kernelversionen mitsamt passenden microcode Versionen stabilisiert. Siehe zb auch im

https://wiki.gentoo.org/wiki/Project:Security/Vulnerabilities/MDS_-_Microarchitectural_Data_Sampling_aka_ZombieLoad

Ich denke der Tipp aus dem Zitat (einfach mal alle Sicherheitsvorkehrungen abzuschalten) ist einfach nur gefährlich. Darf man fragen woher dieses Zitat stammt?

Im Zweifel würde ich eher bei den defaults (mds=full) bleiben.

Und bezüglich Performance:

Ich hab hier ein Notebook mit betroffener Intel-CPU (i7-3720QM)

und hab gar mds=full,nosmt gesetzt (also auch HyperThreading mit deaktiviert) -- einen Performance-Verlust hab ich bisher nicht bemerken können.

Das schaut hier dann zb so aus: 

```
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, RSB filling

/sys/devices/system/cpu/vulnerabilities/mds:Mitigation: Clear CPU buffers; SMT disabled

/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled

/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization

/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
```

Beim Pakete bauen konnte ich auch keinen Performance-Verlust feststellen -- Beispiel: 

```
$ qlop -gHv firefox

firefox-66.0.4: Mon May  6 22:05:02 2019: 46 minutes, 49 seconds | mit HyperThreading und MAKEOPTS=-j8

firefox-67.0: Mon May 20 23:03:28 2019: 46 minutes, 39 seconds | mit deaktivierten HyperThreading und MAKEOPTS=-j4
```

 Der erste build ist noch mit "altem" Kernel und MAKEOPTS="-j8"

Der zweite mit neueren Kernel und mds=full,nosmt mit MAKEOPTS="-j4"

----------

## Max Steel

https://make-linux-fast-again.com/

Lustig, hihihi.

----------

## Josef.95

 *Max Steel wrote:*   

> https://make-linux-fast-again.com/
> 
> Lustig, hihihi.

 

Huh ja, man kann beim Tanz auf dem Seil auch das Netz weglassen - dann ist man schneller unten! :)

----------

## michael_w

... oder eben Augen auf beim CPU-Kauf. Wer heute noch eine Intel CPU kauft, dem ist nicht mehr zu helfen. (ich weiß, AMD ist auch betroffen, aber nicht in DEM Umfang)

----------

## flammenflitzer

Gelesen bei: [url]https://www.heise.de/ct/artikel/Linux-5-2-festgeklopft-Neue-ARM-Treiber-und-Case-Insensitivity-fuer-Ext4-Dateisystem-4424484.html [/url]

----------

