當虛擬機器 Linux 主機伺服器不面向 Internet 並且僅在 LAN 上使用並且使用 Proxmox 等經過相對良好測試的發行版時,透過核心 arg 關閉所有漏洞緩解措施會有多危險mitigations=off
?
此外,是否有人測試過關閉所有此類緩解措施可能會帶來哪些效能提升?
最近,當我看到緩解措施造成的巨大影響時,這對我來說成為一個問題retbleed
:https://www.phoronix.com/review/retbleed-benchmark
這種想法延伸到了對透過上述內核參數或單獨關閉高影響緩解措施來刪除所有或部分緩解措施可能產生的後果(無論是壞的還是積極的)的好奇心。
答案1
Linux 核心標誌mitigations=[on|off]
是一個單一切換,可輕鬆啟用/停用針對硬體漏洞的所有可用核心緩解措施,如此處所列https://docs.kernel.org/admin-guide/hw-vuln/index.html
當然,其影響完全取決於您的 CPU:
當您的 CPU 不易受到任何已知漏洞的影響時,則所有緩解措施均不適用,且影響實際上應為零。
當您的 CPU 容易受到某些攻擊時(甚至還有 CPU 容易受到某些攻擊)全部其中? )影響取決於特定的漏洞和您的工作負載。
至於風險分析,這也取決於您的工作負載和用戶群。
在由公共 VPS 提供者營運的虛擬化主機上,與我在同事專用的內部虛擬化主機上所期望的相比,來賓的信任度較低,而且更有可能是惡意(或受損)的。
例如,在用於 CI/CD 管道和計算叢集的虛擬化主機上,所有來賓都是短暫的,從受信任的映像進行部署,運行長達幾個小時,然後再次被破壞。在那裡,我們需要我們可以獲得的所有性能並禁用緩解措施。
在不同的共享叢集上,我們託管更多經典的伺服器整合工作負載;部署在那裡的客人可以(並且更有可能)「永遠」運行,而不是幾個小時。它混合了生產和非生產工作負載,並且來賓由 DevOps 團隊管理,而這些團隊並不那麼勤奮地修補和更新其係統和應用程式。
惡意或受損來賓的風險要高得多,特定工作負載的效能可能會降低,這是可接受的權衡,因此確實會在那裡啟用緩解措施,並且我們限制哪些 CPU 標誌暴露給來賓。
答案2
伺服器真的不可能甚至從網路外部間接連接嗎?
這是你應該問自己的第一個問題。如果可以從具有 2 個網路連線的電腦存取 LAN,一個連接到該 LAN,另一個連接到連接到網際網路的另一個網路(希望透過多層防火牆),那麼您只需將該伺服器連接到網際網路。
請記住,機器不需要連接到網路就容易受到攻擊。一台機器可能會被惡意軟體感染,這些惡意軟體只是想透過 USB 隨身碟、軟碟甚至在終端上輸入命令來對其造成損害。
最終,所有安全性以及所有效能改進都是一種妥協。對於所獲得的回報來說,可接受的風險等級是多少?
要找出潛在的效能提升,請在完全沒有網路連線的情況下在電腦上執行測試並親自查看。很可能不會太多,但它可能足以擠出一些額外的 CPU 週期,幫助一些舊硬體生存得更久,這樣你就有時間說服高層管理人員,你真的、真的應該獲取新伺服器的預算。
答案3
「…專門在 LAN 上使用,並且使用的是 Proxmox 等經過相對良好測試的發行版,透過核心 arg Mitigations=off 關閉所有漏洞緩解措施會有多危險?”
...
「這種想法延伸到了對透過上述內核參數或單獨關閉高影響緩解措施來刪除所有或部分緩解措施可能產生的後果(無論是壞的還是積極的)的好奇心。」。
您可能仍需要考慮責任,以及修復少量問題所需的時間。
也就是說,大多數緩解措施已經融入最新的 CPU 中;因此,關閉它們只會在較新的系統上帶來很少或很小的性能損失 - 是的,關閉緩解措施通常會變慢;但就像任何基準一樣,也有例外。
“…關閉所有此類緩解措施可能會帶來哪些性能提升?”
Phoronix 的 Michael Larabel 說:
在他 2022 年 12 月 7 日的文章中:《Intel Raptor Lake 緩解影響性能比較》:
「......在大多數情況下,仍然與 Raptor Lake 相關的軟體相關緩解措施可以保留,而不會導致性能出現任何顯著差異。」。
在他 2022 年 9 月 30 日的文章中:“對於 AMD Zen 4,禁用 CPU 安全緩解措施令人驚訝地不值得”:
「...對於執行的190 個不同基準測試,保持預設緩解措施比在緩解措施= 關閉的情況下運行總體快約3%。基本上與我們通常在其他舊處理器上看到的情況相反。 」。
對於較舊的系統,您仍然需要考慮不滿的員工能夠在退出之前提升其權限或以其他方式損壞您的 LAN。他們的一些不滿可能是由於他們使用過時的設備來對付你。此外,綁定的手機會打破「不面向互聯網」的假設,為手機充電並運行惡意應用程式或打開精心設計的電子郵件只能利用存在的漏洞。