6.2. Parámetros del núcleo actualizados
- intel_iommu = [DMAR]
Controlador Intel IOMMU Reasignación de acceso directo a la memoria (DMAR).
Las opciones son:
-
sm_on
[Predeterminado Off] - Por defecto, el modo escalable estará deshabilitado incluso si el hardware anuncia que tiene soporte para la traducción del modo escalable. Con esta opción establecida, el modo escalable se utilizará en el hardware que afirme soportarlo.
-
- isolcpus = [KNL,SMP,ISOL]
Este parámetro aísla un conjunto determinado de CPUs de las perturbaciones.
managed_irq
- Un subparámetro que evita que las CPUs aisladas sean objetivo de las interrupciones gestionadas, que tienen una máscara de interrupción que contiene las CPUs aisladas. La afinidad de las interrupciones administradas es manejada por el kernel y no puede ser cambiada a través de las interfaces/proc/irq/*
.Este aislamiento es el mejor esfuerzo y sólo es efectivo si la máscara de interrupción asignada automáticamente de una cola de dispositivos contiene CPUs aisladas y de mantenimiento. Si las CPUs de mantenimiento están en línea, dichas interrupciones se dirigen a la CPU de mantenimiento para que las E/S enviadas a la CPU de mantenimiento no puedan perturbar a la CPU aislada.
Si la máscara de afinidad de la cola contiene sólo CPUs aisladas, este parámetro no tiene efecto en la decisión de enrutamiento de las interrupciones. Sin embargo, las interrupciones sólo se entregan cuando las tareas que se ejecutan en esas CPUs aisladas envían E/S. La E/S enviada en las CPUs de mantenimiento no tiene influencia en esas colas.
- mds = [X86,INTEL]
Los cambios en las opciones:
-
off
- En las máquinas afectadas por TSX Async Abort (TAA),mds=off
puede ser impedido por una mitigación activa de TAA ya que ambas vulnerabilidades se mitigan con el mismo mecanismo. Por lo tanto, para desactivar esta mitigación, es necesario especificar también el parámetro del kerneltsx_async_abort=off
.
-
No especificar este parámetro equivale a mds=full
.
Para más detalles, consulte la documentación del kernel.
- mem_encrypt = [X86-64]
Control de encriptación de memoria segura (SME) de AMD
…
Para más detalles sobre cuándo se puede activar la encriptación de la memoria, consulte la documentación del kernel upstream.
- mitigación =
Los cambios en las opciones:
off
- Desactivar todas las mitigaciones opcionales de la CPU. Esto mejora el rendimiento del sistema, pero también puede exponer a los usuarios a varias vulnerabilidades de la CPU.Equivalente a:
-
nopti [X86,PPC]
-
kpti=0 [ARM64]
-
nospectre_v1 [X86,PPC]
-
nobp=0 [S390]
-
nospectre_v2 [X86,PPC,S390,ARM64]
-
spectre_v2_user=off [X86]
-
spec_store_bypass_disable=off [X86,PPC]
-
ssbd=force-off [ARM64]
-
l1tf=off [X86]
-
mds=off [X86]
-
tsx_async_abort=off [X86]
kvm.nx_huge_pages=off [X86]
Excepciones:
Esto no tiene ningún efecto sobre kvm
.
nx_huge_pages
cuandokvm.nx_huge_pages=force
.
-
auto,nosmt
- Mitiga todas las vulnerabilidades de la CPU, deshabilitando el Multihilo Simultáneo (SMT) si es necesario. Esta opción es para los usuarios que siempre quieren estar completamente mitigados, incluso si significa perder SMT.Equivalente a:
-
l1tf=flush,nosmt [X86]
-
mds=full,nosmt [X86]
-
tsx_async_abort=full,nosmt [X86]
-
- rcutree.jiffies_till_sched_qs = [KNL]
Este parámetro establece la edad requerida en jiffies para un periodo de gracia dado antes de que Read-copy update (RCU) comience a solicitar ayuda de estado de reposo desde las funciones
rcu_note_context_switch()
ycond_resched()
. Si no se especifica, el núcleo calculará un valor basado en la configuración más reciente de los parámetros del núcleorcutree
.jiffies_till_first_fqs
yrcutree.jiffies_till_next_fqs
.Este valor calculado puede verse en el parámetro del núcleo
rcutree
.jiffies_to_sched_qs. Cualquier intento de establecerrcutree
.jiffies_to_sched_qs se sobrescribirá.- tsc =
Este parámetro desactiva las comprobaciones de estabilidad de la fuente de reloj para el contador de tiempo (TSC).
Formato: <string>
Las opciones son:
-
reliable
[x86] - Marca la fuente de reloj del TSC como fiable. Esta opción desactiva la verificación de la fuente de reloj en tiempo de ejecución, así como las comprobaciones de estabilidad realizadas en el arranque. La opción también habilita el modo de temporizador de alta resolución en hardware antiguo y en entornos virtualizados. -
noirqtime
[x86] - No utilizar el TSC para realizar la contabilidad de las peticiones de interrupción (IRQ). Se utiliza para deshabilitar en tiempo de ejecuciónIRQ_TIME_ACCOUNTING
en cualquier plataforma en la que el contador de tiempo de lectura (RDTSC) sea lento y esta contabilidad pueda añadir sobrecarga. -
inestable
[x86] - Marca la fuente de reloj del TSC como inestable. Esta opción marca el TSC como incondicionalmente inestable en el arranque y evita cualquier otro tambaleo una vez que el perro guardián del TSC se da cuenta. -
nowatchdog
[x86] - Desactiva el perro guardián de la fuente de reloj. Esta opción se utiliza en situaciones con requisitos de latencia estrictos en las que no se aceptan las interrupciones del perro guardián de la fuente de reloj.
-