Wenn ein virtueller Linux-Hostserver keinen Internetzugang hat, ausschließlich in einem LAN verwendet wird und eine relativ gut getestete Distribution wie Proxmox nutzt, wie gefährlich wäre es dann, sämtliche Maßnahmen zur Schwachstellenminderung über das Kernel-Argument zu deaktivieren mitigations=off?
Hat darüber hinaus jemand getestet, welche Leistungssteigerungen durch das Deaktivieren aller dieser Abhilfemaßnahmen erzielt werden könnten?
Diese Frage stellte ich mir kürzlich, als ich sah, welche großen Auswirkungen die retbleedSchadensbegrenzungsmaßnahmen haben:https://www.phoronix.com/review/retbleed-benchmark
Dieser Gedankengang führte uns zu der Frage, welche positiven und negativen Auswirkungen es haben könnte, wenn alle oder einige Abhilfemaßnahmen entweder über das oben genannte Kernel-Argument oder durch die individuelle Deaktivierung von Abhilfemaßnahmen mit hoher Auswirkung entfernt würden.
Antwort1
Das Linux-Kernel-Flag mitigations=[on|off]ist ein einzelner Schalter, mit dem Sie alle verfügbaren Kernel-Mitigationen für Hardware-Schwachstellen, wie hier aufgeführt, einfach aktivieren/deaktivieren können.https://docs.kernel.org/admin-guide/hw-vuln/index.html
Die Auswirkungen hängen natürlich ganz von Ihrer CPU ab:
Wenn Ihre CPU für keine der bekannten Sicherheitslücken anfällig ist, ist keine der Maßnahmen zur Risikominderung anwendbar und die Auswirkungen sollten praktisch gleich null sein.
Wenn Ihre CPU anfällig ist für einige (gibt es überhaupt CPUs, die anfällig sind füralledavon?) Die Auswirkungen hängen von den spezifischen Schwachstellen und Ihrem Arbeitsaufwand ab.
Was die Risikoanalyse betrifft, hängt diese auch von Ihrer Arbeitsbelastung und Benutzerbasis ab.
Auf einem Virtualisierungshost, der von einem öffentlichen VPS-Anbieter betrieben wird, wird den Gästen weniger vertraut und die Wahrscheinlichkeit, dass sie böswillig sind (oder kompromittiert werden), ist viel höher, als ich es auf einem internen Virtualisierungshost erwarten würde, der ausschließlich von meinen Kollegen genutzt wird.
Auf unseren Virtualisierungshosts, die wir für CI/CD-Pipelines und Computercluster verwenden, sind beispielsweise alle Gäste kurzlebig, werden von vertrauenswürdigen Images bereitgestellt, laufen bis zu ein paar Stunden und werden dann wieder zerstört. Dort brauchen wir die gesamte Leistung, die wir bekommen können, und deaktivieren die Abwehrmaßnahmen.
Auf einem anderen gemeinsam genutzten Cluster hosten wir klassischere Serverkonsolidierungsworkloads. Gäste, die dort bereitgestellt werden, können (und werden es wahrscheinlicher) „für immer“ laufen, anstatt stundenlang. Es gibt eine Mischung aus Produktions- und Nichtproduktionsworkloads, und die Gäste werden von DevOps-Teams verwaltet, die beim Patchen und Aktualisieren ihrer Systeme und Anwendungen nicht alle so gewissenhaft sind.
Dort ist das Risiko eines böswilligen oder kompromittierten Gasts viel höher, die mögliche Leistungsminderung für bestimmte Workloads ist ein akzeptabler Kompromiss, und daher werden dort Abhilfemaßnahmen aktiviert, und wir begrenzen, welche CPU-Flags den Gästen zugänglich gemacht werden.
Antwort2
ist es wirklich unmöglich, von außerhalb Ihres Netzwerks eine Verbindung zum Server herzustellen, auch nicht indirekt?
Das ist die erste Frage, die Sie sich stellen sollten. Wenn auf das LAN von einem Computer aus zugegriffen werden kann, der über zwei Netzwerkverbindungen verfügt, eine zu diesem LAN und eine andere zu einem anderen Netzwerk, das mit dem Internet verbunden ist (hoffentlich über mehrere Firewall-Ebenen), haben Sie gerade diesen Server mit dem Internet verbunden.
Und denken Sie daran, dass ein Computer nicht unbedingt mit dem Internet verbunden sein muss, um angreifbar zu sein. Ein Computer kann mit Malware infiziert sein, die ihm über einen USB-Stick, eine Diskette oder sogar über die Eingabe von Befehlen auf einem Terminal lediglich Schaden zufügen will.
Letzten Endes ist jede Sicherheitsmaßnahme, wie jede Leistungsverbesserung, ein Kompromiss. Was ist ein akzeptables Risikoniveau im Verhältnis zum erzielten Nutzen?
Um Ihre potenziellen Leistungssteigerungen herauszufinden, führen Sie Tests auf dem Rechner durch, während er überhaupt keine Netzwerkverbindungen hat, und überzeugen Sie sich selbst. Höchstwahrscheinlich wird es nicht sehr viel sein, aber es könnte gerade ausreichen, um die paar zusätzlichen CPU-Zyklen herauszuholen, die dazu beitragen, dass einige alte Hardware ein wenig länger überlebt, sodass Sie Zeit haben, die Geschäftsleitung davon zu überzeugen, dass Sie wirklich, wirklich das Budget für einen neuen Server erhalten sollten.
Antwort3
„… ausschließlich in einem LAN verwendet wird und eine relativ gut getestete Distribution wie Proxmox nutzt, wie gefährlich wäre es, alle Schwachstellenminderungen über das Kernel-Argument ‚mitigations=off‘ zu deaktivieren?“
…
„Dieser Gedankengang führte zu der Neugier, was die Konsequenzen – sowohl positive als auch negative – sein könnten, wenn alle oder einige Minderungen entweder über das obige Kernel-Argument oder durch die individuelle Deaktivierung von Minderungen mit hoher Auswirkung entfernt würden.“
Möglicherweise möchten Sie dennoch die Haftung und den längeren Zeitaufwand zur Behebung selbst kleinerer Probleme berücksichtigen.
Allerdings sind die meisten Abwehrmaßnahmen bereits in den neuesten CPUs integriert. Wenn Sie sie also deaktivieren, kommt es auf neueren Systemen nur zu geringen oder nur geringen Leistungseinbußen. Ja, ohne Abwehrmaßnahmen läuft das System normalerweise langsamer, aber wie bei jedem Benchmark gibt es auch hier Ausnahmen.
„… welche Leistungssteigerungen könnten durch das Deaktivieren aller dieser Abhilfemaßnahmen erzielt werden?“
Michael Larabel von Phoronix sagt:
In seinem Artikel vom 7. Dezember 2022:„Leistungsvergleich der Auswirkungen der Mitigation auf Intel Raptor Lake“:
„… die für Raptor Lake noch relevanten softwareseitigen Abhilfemaßnahmen können größtenteils aktiviert bleiben, ohne dass sich die Leistung wesentlich ändert.“
In seinem Artikel vom 30. September 2022:„Bei AMD Zen 4 lohnt es sich überraschenderweise nicht, CPU-Sicherheitsmaßnahmen zu deaktivieren“:
„… bei der großen Bandbreite von 190 durchgeführten Benchmarks war die Beibehaltung der Standardminderungsmaßnahmen insgesamt etwa 3 % schneller als die Ausführung mit deaktivierten Minderungsmaßnahmen. Im Grunde das Gegenteil von dem, was wir normalerweise bei anderen, älteren Prozessoren sehen.“
Bei älteren Systemen müssen Sie immer noch damit rechnen, dass verärgerte Mitarbeiter ihre Privilegien erweitern oder Ihr LAN auf andere Weise beschädigen können, bevor sie es verlassen. Ein Teil ihrer Unzufriedenheit kann durch veraltete Geräte verursacht werden, die sie gegen Sie einsetzen. Auch ein angebundenes Mobiltelefon würde die Annahme „kein Internetzugang“ zunichte machen. Wenn Sie Ihr Telefon aufladen und eine betrügerische App ausführen oder eine sorgfältig erstellte E-Mail öffnen, können Sie nur die vorhandenen Schwachstellen ausnutzen.