• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Gelöst] Hyperthreading deaktivieren

Burkhard

Member
Hallo,

ich habe gestern gelesen, das ein führender Kernelentwickler aus Sicherheitsgründen empfiehlt, SMT (Hyperthreading) zu deaktivieren. Seid Ihr dieser Empfehlung gefolgt? Ist Hyperthreading überhaupt aktiv oder ist es die Aufgabe des standardmäßig installierten Paketes ucode-intel, Hyperthreading zu deaktivieren? Oder verstehe ich was falsch? Für Aufklärung wäre ich sehr dankbar.

Grüße Burkhard
 

stka

Guru
Hier findest du was dazu:
https://docs.kernelcare.com/how-to/

Nein, ich werde des nicht deaktivieren.
 

Christina

Moderator
Teammitglied
Burkhard schrieb:
Für Aufklärung wäre ich sehr dankbar.
Lasse dir doch mal die aktuelle Vulnerabilität anzeigen.
grep . /sys/devices/system/cpu/vulnerabilities/*

Bei mir:
Rich (BBCode):
/sys/devices/system/cpu/vulnerabilities/itlb_multihit:Not affected
/sys/devices/system/cpu/vulnerabilities/l1tf:Not affected
/sys/devices/system/cpu/vulnerabilities/mds:Not affected
/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Not affected
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation:usercopy/swapgs barriers and __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation:Full AMD retpoline, STIBP: disabled, RSB filling
/sys/devices/system/cpu/vulnerabilities/srbds:Not affected
/sys/devices/system/cpu/vulnerabilities/tsx_async_abort:Not affected
Code:
uname -a
Linux leap152 5.3.18-lp152.92-default #1 SMP Mon Sep 13 11:30:31 UTC 2021 (d83471c) x86_64 x86_64 x86_64 GNU/Linux
 
OP
B

Burkhard

Member
Christina schrieb:
Lasse dir doch mal die aktuelle Vulnerabilität anzeigen.

Sehr gerne:

Code:
/sys/devices/system/cpu/vulnerabilities/itlb_multihit:KVM: Mitigation: VMX disabled
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT vulnerable
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable: Clear CPU buffers attempted, no microcode; SMT vulnerable
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling
/sys/devices/system/cpu/vulnerabilities/srbds:Not affected
/sys/devices/system/cpu/vulnerabilities/tsx_async_abort:Not affected

Na so wirklich gut sieht es nicht aus. Danke.

Gruß Burkhard
 

Christina

Moderator
Teammitglied
Burkhard schrieb:
ich habe gestern gelesen, das ein führender Kernelentwickler aus Sicherheitsgründen empfiehlt, SMT (Hyperthreading) zu deaktivieren.
Hast du da vielleicht einen Link zu der Seite?
Wie sieht das bei aktuellen CPUs aus? Meine von AMD ist schon etwas älter.
Ist Hyperthreading überhaupt aktiv oder ist es die Aufgabe des standardmäßig installierten Paketes ucode-intel, Hyperthreading zu deaktivieren?
Ob SMT (Simultaneous Multithreading) aktiv ist kannst du so nachschauen.
Code:
grep . /sys/devices/system/cpu/smt/*
SMT kannst du bei openSUSE auch ganz einfach in "YaST - Bootloader - Kernel-Parameter - CPU-Herabsetzung" dauerhaft deaktivieren.
 
OP
B

Burkhard

Member
josef-wien schrieb:
Welcher Microcode wird verwendet:
Code:
dmesg | grep -i "microcode"

Hallo,

folgender Microcode wird verwendet:

Code:
[    0.000000] microcode: microcode updated early to revision 0xa, date = 2018-05-08
[    0.295606] MDS: Vulnerable: Clear CPU buffers attempted, no microcode
[    2.175585] microcode: sig=0x106e5, pf=0x2, revision=0xa
[    2.175841] microcode: Microcode Update Driver: v2.2.

Scheint nicht aktuell zu sein, oder? Ich dachte, das der bei Leap 15.3 aktuell ist und sich auch selbstständig aktualisiert.

Gruß Burkhard
 
OP
B

Burkhard

Member
Bei mir war SMT aktiv und ich habe ihn jetzt mit Yast deaktiviert. Mal sehen, ob es ernsthafte Performance EInbußen gibt, denn mein Rechner ist schon älter.

Gruß Burkhard
 

josef-wien

Ultimate Guru
Einen neueren Microcode für Deinen Prozessor gibt es nicht:
Code:
iucode_tool -l /lib/firmware/intel-ucode/06-1e-05
microcode bundle 1: /lib/firmware/intel-ucode/06-1e-05
selected microcodes:
  001/001: sig 0x000106e5, pf_mask 0x13, 2018-05-08, rev 0x000a, size 9216
Vermutlich gibt es keine Verbesserung durch einen Microcode.

Auch dieser Prozessorfehler (siehe https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html) betrifft im Wesentlichen den unerwünschten Zugriff durch virtuelle Maschinen. Das ist ein großes Problem für jene Firmen, die auf ihren Servern virtuelle Maschinen für ihre Kunden anbieten, aber ein kleines für "normale" PC. Ob Dich der Leistungsverlust durch den Wegfall der virtuellen Prozessoren stört, mußt Du entscheiden
 
OP
B

Burkhard

Member
Danke josef-wien,

wieder was dazu gelernt. Ich habe keine hohen Ansprüche und im normalen Desktop Betrien merke ich keinen gravierenden Leistungsabfall. Allerdings ist die Prozessorlast bei einem HD Video doch deutlich höher. Allerdings ruckelt nichts. Benutze allerdings auch den Nouveau Treiber mit Wayland.

Gruß Burkhard
 
OP
B

Burkhard

Member
Noch ein kleines Feedback. Bei Videoplayern ist die Prozessorlast sehr unterschiedlich. Bei der von mir erhöhten Prozessorlast kam Gnome Video (Totem) zum Einsatz. Mit dem VLC oder in der Konsole mit ffplay ist die Prozessorlast dann sehr viel geringer und eher normal wie mit aktivierten SMT. Also auch mit deaktivierten Hyperthreading alles im grünen Bereich. Danke an Euch alle, die zum besseren Verständnis beigetragen haben.

Gruß Burkhard
 
OP
B

Burkhard

Member
Hier der direkte Link ohne Umweg:

https://www.computerbase.de/2019-10/linux-entwickler-empfiehlt-deaktivierung-von-smt/

Und ja Christina, wenn Du einen AMD Prozessor hast, bist Du ja auf der sicheren Seite, oder?

Die Sicherheit habe ich etwas vernachlässigt. Das soll sich aber ändern. Jetzt werde ich mal schauen, ob und wie ich den Firefox härten kann. Auf jeden Fall wird mein nächster Rechner ganz sicher auch ein AMD Rechner mit Ryzen und AMD Grafik sein, da bin ich mir ganz sicher.

Gruß Burkhard
 

Christina

Moderator
Teammitglied
Auf phoronix habe ich ein paar Details zu AMD Ryzen gefunden.
Sicherheitslücken bei SMT war wohl immer nur ein Intel-Problem.

Ryzen 5 2600X / Ryzen 5 3600XT / Ryzen 5 5600X, 6 cores / 12 threads
-Linux Kernel 5.9.10-050910, gcc 10.2.0-

itlb_multihit: Not affected
l1tf: Not affected
mds: Not affected
meltdown: Not affected
spec_store_bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1: Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2: Mitigation: Full AMD retpoline, IBPB: conditional, IBRS_FW, STIBP: always on RSB filling
srbds: Not affected
tsx_async_abort: Not affected
Edit: Kernel und Quelle: https://www.phoronix.com/scan.php?page=article&item=zen-3-spectre&num=1
 
OP
B

Burkhard

Member
Genau so ist es, das haben meine Recherchen auch ergeben. AMD hat Zukunft .... :D

Gruß Burkhard
 

towo

Moderator
Teammitglied
Man sollte vielleicht mal erwähnen, dass diese ganzen Sicherheitslücken auf einem Privat-PC keine Rolle spielen, hier könnte man sogar mit mitigations=off booten und es würde nichts passieren.
 
OP
B

Burkhard

Member
towo schrieb:
Man sollte vielleicht mal erwähnen, dass diese ganzen Sicherheitslücken auf einem Privat-PC keine Rolle spielen, hier könnte man sogar mit mitigations=off booten und es würde nichts passieren.

Ehrlich, gedacht hab ich mir das schon, aber wenn es in einem Enterprise Linux als Warnhinweis im Installer erscheint, wird man nachdenklich. Gut ich hab mich informiert, man wird ja nicht dümmer. Und eine kastrierte CPU ist ja auch keine Freude. Also alles auf Start zurück .... für mich spielt das privat wohl keine Rolle.

Gruß Burkhard
 

Christina

Moderator
Teammitglied
towo schrieb:
Man sollte vielleicht mal erwähnen, dass diese ganzen Sicherheitslücken auf einem Privat-PC keine Rolle spielen, hier könnte man sogar mit mitigations=off booten und es würde nichts passieren.
Manche CPU-Sicherheitslücken lassen sich praktisch nicht ausnutzen, andere sind brandgefährlich.
Bei Spectre z.B. gibt es da Unterschiede in zwischen Intel und AMD.
Für SMT gibt es von Intel leider noch keine Mitigations.
 

towo

Moderator
Teammitglied
Manche CPU-Sicherheitslücken lassen sich praktisch nicht ausnutzen, andere sind brandgefährlich.
Auf einem privaten PC zu hause lassen sich so gut wie alle dieser Lücken praktisch nicht ausnutzen.
Diese Lücken kann man benutzen, um bei Server Farmen auf Daten zuzugreifen, welche eigentlich nicht erreichbar sein sollten.
 
Oben