Red Hat Summit第59章 カーネル
Spectre および Meltdown の問題に対処するセキュリティーパッチはパフォーマンスの低下を引き起こす可能性があります
CVE-2017-5754、CVE-2017-5715、および CVE-2017-5753 で報告された問題に対処するセキュリティーパッチが実装されました。影響、検出、解決策など、問題の詳細は、https://access.redhat.com/security/vulnerabilities/speculativeexecution にある Red Hat ナレッジベースの記事を参照してください。パッチはデフォルトで有効になっていますが、パフォーマンスの低下を引き起こす可能性があります。
ユーザーは、Red Hat Enterprise Linux Tunables を使用して影響を制御できます。debugfs tunable は、システムの起動時にカーネルコマンドラインで、または実行時に debugfs コントロールを使用して有効または無効にできます。調整パラメーターは、ページテーブル分離 (PTI)、間接分岐制限投機 (IBRS)、および間接分岐予測バリア (IBPB) を制御します。Red Hat は、起動時に検出されたアーキテクチャーを保護するために、必要に応じてデフォルトで各機能を有効にします。ただし、IBPB サポートを直接無効にすることはできません。IBPB を間接的に無効にするには、IBRS と retpolines の両方を無効にする必要があります。
システムが他の手段で十分に保護されていると確信しており、そのようなパフォーマンスの低下を避けるために CVE 軽減策を無効にしたいお客様は、次のいずれかのオプションを使用する必要があります。
1.次のフラグをカーネルコマンドラインに追加し、カーネルを再起動して変更を有効にします。
spectre_v2=off nopti
spectre_v2=off nopti
2.次のコマンドを実行して、実行時にパッチを無効にします。変更はすぐに有効になり、再起動の必要はありません。
echo 0 > /sys/kernel/debug/x86/pti_enabled echo 0 > /sys/kernel/debug/x86/retp_enabled echo 0 > /sys/kernel/debug/x86/ibrs_enabled
# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/retp_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled
CVE 軽減策によるパフォーマンスへの影響の制御の詳細については、https://access.redhat.com/articles/3311301 で閲覧できる Red Hat ナレッジベースの記事を参照してください。
https://access.redhat.com/security/vulnerabilities/speculativeexecution の診断タブも参照してください。(BZ#1532547)
KSC は xz 圧縮をサポートしていません
カーネルモジュールソースチェッカー (ksc ツール) は、
xz 圧縮方式を処理できず、次のエラーを報告します。
File format not recognized (Only kernel object files are supported)
File format not recognized (Only kernel object files are supported)
この問題を回避するには、
ksc ツールを実行する前に、xz 圧縮を使用してサードパーティーモジュールを手動で解凍します。(BZ#1441455)
megaraid_sas の更新によりパフォーマンスが低下する可能性があります
megaraid_sas ドライバーはバージョン 06.811.02.00-rh1 に更新され、以前のバージョンに比べてパフォーマンスが大幅に向上しました。ただし、場合によっては、ソリッドステートドライブ (SSD) に基づく設定ではパフォーマンスの低下が見られます。この問題を回避するには、/sys/ディレクトリー内の対応する queue_ Depth パラメーターを 256 までのより高い値に設定します。これにより、パフォーマンスが元のレベルに戻ります。(BZ#1367444)
qede がロードされている場合、qedi は iSCSI PCIe 機能へのバインドに失敗します
QL41xxx ネットワークアダプター用のイーサネットドライバーである
qede ドライバーは、必要以上に多くの MSI-X ベクトルを割り当てます。その結果、qedi ドライバーは、ハードウェアによって公開されている iSCSI PCIe 機能にバインドできません。この問題を回避するには、qede ドライバーと qedi ドライバーの両方をアンロードし、qedi のみをロードします。その結果、qedi はハードウェアを通じて公開されている iSCSI 機能をプローブし、接続されている iSCSI ターゲットを見つけることができます。(BZ#1484047)
Radeon がカーネルパニックを引き起こします
セカンダリーまたはプライマリー GPU として
radeon カーネルドライバーを搭載した一部のシステムでは、amdgpu グラフィックスドライバーのバグが原因でシステムが起動に失敗することがあります。
回避策として、
Radeon カーネルドライバーをブラックリストに登録します。(BZ#1486100)
CPU のホットアドまたはホットリムーブ操作後に Kdump カーネルが起動に失敗する
Kdump が有効になっている IBM Power Systems のリトルエンディアンバリアント上で Red Hat Enterprise Linux 7 を実行している場合、CPU のホットアドまたはホットリムーブ操作の後に kexec によってトリガーされると、Kdump クラッシュカーネルは起動に失敗します。この問題を回避するには、CPU のホットアドまたはホットリムーブ後に kdump サービスを再起動します。
systemctl restart kdump.service
# systemctl restart kdump.service
(BZ#1549355)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}