Bizonyára minden fórumozó hallott már a Spectre és Meltdown sebezhetőségekről és a belőlük kialakult botrányról, melynek középpontjában jelenleg a processzoripar egyik éllovasa, az Intel áll. Az az Intel, amely úgy akart versenyelőnyhöz jutni a processzorai teljesítményét illetően, hogy átgondolatlan, biztonsági szempontból silány architekturális megoldásokat alkalmazott. Az elkövetett hibákat csak szoftveresen lehet orvosolni, és mert a hiba és javításának jellege is megkívánja, csak jelentős hátrányokkal és előnytelen kompromisszumokkal. Elképzelhető, hogy az Intel sales-esei és marketingesei ebből a slamasztikából végül új processzorok eladásával szeretnének kimászni, ahogy az is egyre inkább körvonalazódik, hogy az amerikai processzorpolip a tervezési és gyári hibás termékeinek köszönhető járulékos költségeket is igyekszik minden esetben a felhasználókra áthárítani, kiemelten gondolok itt az akár 30%-os lassulás anyagi következményeire.
Léteznek azonban olyan használati esetek, melyekben semmi szükség nincs a javításra, ahogy arra sem, hogy a lassulás miatt esetleg időelőtt új processzort (és vele együtt természetesen új számítógépet) kelljen vásárolni. Előfordulhat olyan is, hogy egy, a szakmájához és a biztonsághoz alapszinten értő informatikus, ha akarja, a javításnál sokkal erősebb védelmekkel is körbe tudja bástyázni rendszereit ahelyett, hogy ezt az operációs rendszertől várná el, kényelmi alapon. Ebben a témában folyamatosan frissítve összegyűjtöm azokat a megoldásokat különböző operációs rendszerekre, melyek a szóban forgó javításokat eltávolítják, azokat a rendszertől tartósan távol tartják.
Linux
Mivel az egyes disztribúciók alatt ugyanúgy Linux kernel fut, annak paraméterezésével könnyedén kikapcsolható bármely javítás. Mielőtt azonban átkonfiguráljuk a rendszert, tájékozódjunk arról, hogy az épp használt disztribúcióba bekerült-e már valamennyi javítás. Ehhez itt egy hasznos oldal.
- sudo vi /etc/default/grub
- Keresd meg a GRUB_CMDLINE_LINUX_DEFAULT kezdetű sort, ha nincs, csinálj egyet!
- Add hozzá a noibrs noibpb nopti nospectre_v2 nospec_store_bypass_disable paramétereket!
GRUB_CMDLINE_LINUX_DEFAULT="noibrs noibpb nopti nospectre_v2 nospec_store_bypass_disable"
5.1.13 kerneltől elég a mitigations=off paramétert megadni, de ez nem csak a Spectre/Meltdown javításokat tiltja, hanem az összes potenciálisan CPU-belassító szoftveres hardverhiba-tűzoltást. Ami desktop környezetben szintén jó ötlet és megtehető mindenféle reális biztonsági kockázat nélkül.
noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off
- sudo grub-mkconfig -o /boot/grub/grub.cfg
- Indítsd újra a rendszert!
Windows
- Windows XP / Windows Vista / Windows Server 2003
- Mivel ezen verziók már nem támogatottak, így nem érkeznek rájuk sem biztonsági, sem egyéb más frissítések.
Nincs teendő a Windows XP (32 vagy 64 bit) rendszereken.
- POSReady 2009 / Windows Embedded Standard 2009
- Windows 7-10 / Windows Server 2008-2016
- Start -> cmd.exe -> [Ctrl+Shift+Enter] (adminként indul)
- Add ki az alábbi parancsokat!
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
- Indítsd újra a gépet!
BSD
- FreeBSD
- vi /etc/loader.conf
- Írjuk be az alábbiakat!
hw.ibrs_disable="0"
vm.pmap.pti="0"
A topiknak nem célja a javítások szükségességének vitatása. Ide kizárólag gyakorlati megoldásokat és praktikus ötleteket várok, amik minél egyszerűbbé teszik azt, hogy a Spectre és a Meltdown javítások mellőzhetőek legyenek egy rendszeren, megőrizve a többi rendszerkomponens frissített állapotát és stabilitását.
