Realisticamente, o desligamento das mitigações do Spectre, Meltdown e outras vulnerabilidades do gênero coloca o meu sistema em risco?

Sou só um usuário comum que faz coisas comuns com o computador. Meu computador não é usado como servidor e nada do gênero.

Além disso, basicamente só baixo programas dos repositórios oficiais, com exceção de 4 que faço uso de PPAs (para LibreOffice, SMPLayer, Lutris e DeadBeef), e mesmo assim são dos sites oficiais.

Praticamente o único jeito de infectar meu computador é rodando sem querer um script malicioso diretamente do meu navegador. Mas pelo o que andei lendo, mesmo os problemas de segurança que ligam os navegadores ao Spectre e Meltdown já foram mitigados nos navegadores, então eu não sei.

Tirei essas mitigações porque eles estavam ferrando com o desempenho da minha máquina. Na verdade ainda estão, mas está menos pior agora.



Pra quem quiser saber como desliguei essas mitigações:

Abra o arquivo /etc/default/grub.

Mude a linha GRUB_CMDLINE_LINUX_DEFAULT="quiet splash" para:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash noibrs noibpb pti=off spectre_v1=off spectre_v2=off l1tf=off nospec_store_bypass_disable mds=off mitigations=off"

E então rode o comando sudo update-grub2 se você usa *ubuntu ou derivado deste.

2 Curtidas

Olá! Você rodou algo como um geekbenk antes e depois?
Só para termos alguma base de comparação da performance?

Eu usei parte do script de pós-instalação do @rauldipeas no meu micro de trabalho e tive bons resultados, vou dar uma pesquisada e depois testar essa sua sugestão também.

:vulcan_salute:

2 Curtidas

Na verdade, no meu pós instalação, já tem uma linha do GRUB que desativa as mitigações, não precisa de todas essas opções, é só por o mitigations=off que já é suficiente.

2 Curtidas

Obrigado pela atenção.


Eu não conhecia de nada do gênero, mas posso te dar uma noção. Vou citar um jogo porque é mais fácil ver a questão de desempenho através deles, mas meu sistema como um todo perdeu um pouco do seu desempenho.

  • Meu hardware: i3-7020U, 4GB RAM, Intel HD Graphics 620
  • No início deste ano (comprei o notebook no final do ano passado): os jogos rodavam lisinho no Linux, jogos de Game Cube no Dolphin (zerei Zelda Twilight Princess no Linux) e Skyrim e GTA San Andreas via Lutris (sim, mesmo no Linux, o Skyrim rodava bem nesse hardware com uma faixa ÓTIMA de FPS).
  • Desde há alguns meses, com essas atualizações da Intel: a cada 3 ou 5~6 segundos o jogo dava uma congelada total por um segundo, então continuava perfeitamente normal e dava outra engasgada após 3~6 segundos e assim seguia. Testei um jogo nativo pra Linux (AssaultCube) e a cada essa mesma faixa de tempo, o jogo apresentava uma queda de 30~40 FPS, rodava normal durante 3~6 segundos, caia o FPS e continuava normal por 3~6 segundos. No Windows os jogos continuam funcionando perfeitamente, não é um problema no hardware em si.
  • Com as mitigações desativadas: Não testei todos os jogos porque não quis ter todo esse trabalho para nada, mas testei o Mario Kart do Game Cube via Dolphin. A cada 5~6 segundos não há mais um congelamento momentâneo do jogo, entretanto há uma queda visível de FPS no lugar. O desligamento das mitigações ajudou, entretanto isso não fez o desempenho voltar à normalidade.

Vou dar uma olhada com mais cuidado.
Ah, e o link é esse, rsrsrs: https://plus.diolinux.com.br/t/compartilhe-seus-scripts-de-pos-instalacao





Segundo este artigo, isso só é válido para kerneis da versão 5.1.13 em diante. O meu kernel ainda é o 5.0.0-27.

Não atualizo meu kernel porque não gosto de mexer com isso quando todo o meu hardware foi reconhecido e li em algum lugar (infelizmente não tenho o link) que disse que a perda de performance com essas mitigações ficam piores com as próximas versões do kernel. Tinha gráfico e tudo, se eu achar eu posto aqui.

Aproveitando a oportunidade, esse artigo aqui diz que as atualizações do blob firmware deixam o sistema mais lento e essas mitigações não podem ser desativadas por linha de comando, me restando apenas gerenciar esses binários manualmente, algo que não pretendo fazer porque manipulo meu sistema até um certo limite.