第59章 カーネル
Spectre および Meltdown の問題に対処するセキュリティーパッチはパフォーマンスの低下を引き起こす可能性があります
CVE-2017-5754、CVE-2017-5715、および CVE-2017-5753 で報告された問題に対処するセキュリティーパッチが実装されました。影響、検出、解決策など、問題の詳細は、https://access.redhat.com/security/vulnerabilities/speculativeexecution にある Red Hat ナレッジベースの記事を参照してください。パッチはデフォルトで有効になっていますが、パフォーマンスの低下を引き起こす可能性があります。
ユーザーは、Red Hat Enterprise Linux Tunables を使用して影響を制御できます。debugfs tunable は、システムの起動時にカーネルコマンドラインで、または実行時に debugfs コントロールを使用して有効または無効にできます。調整パラメーターは、ページテーブル分離 (PTI)、間接分岐制限投機 (IBRS)、および間接分岐予測バリア (IBPB) を制御します。Red Hat は、起動時に検出されたアーキテクチャーを保護するために、必要に応じてデフォルトで各機能を有効にします。ただし、IBPB サポートを直接無効にすることはできません。IBPB を間接的に無効にするには、IBRS と retpolines の両方を無効にする必要があります。
システムが他の手段で十分に保護されていると確信しており、そのようなパフォーマンスの低下を避けるために CVE 軽減策を無効にしたいお客様は、次のいずれかのオプションを使用する必要があります。
1.次のフラグをカーネルコマンドラインに追加し、カーネルを再起動して変更を有効にします。
spectre_v2=off nopti
2.次のコマンドを実行して、実行時にパッチを無効にします。変更はすぐに有効になり、再起動の必要はありません。
# echo 0 > /sys/kernel/debug/x86/pti_enabled # echo 0 > /sys/kernel/debug/x86/retp_enabled # echo 0 > /sys/kernel/debug/x86/ibrs_enabled
CVE 軽減策によるパフォーマンスへの影響の制御の詳細については、https://access.redhat.com/articles/3311301 で閲覧できる Red Hat ナレッジベースの記事を参照してください。
https://access.redhat.com/security/vulnerabilities/speculativeexecution の診断タブも参照してください。(BZ#1532547)
KSC は xz 圧縮をサポートしていません
カーネルモジュールソースチェッカー (ksc ツール) は、
xz 圧縮方式を処理できず、次のエラーを報告します。
File format not recognized (Only kernel object files are supported)
この問題を回避するには、
ksc ツールを実行する前に、xz 圧縮を使用してサードパーティーモジュールを手動で解凍します。(BZ#1441455)
megaraid_sas の更新によりパフォーマンスが低下する可能性があります
megaraid_sas ドライバーはバージョン 06.811.02.00-rh1 に更新され、以前のバージョンに比べてパフォーマンスが大幅に向上しました。ただし、場合によっては、ソリッドステートドライブ (SSD) に基づく設定ではパフォーマンスの低下が見られます。この問題を回避するには、/sys/ディレクトリー内の対応する queue_ Depth パラメーターを 256 までのより高い値に設定します。これにより、パフォーマンスが元のレベルに戻ります。(BZ#1367444)
qede がロードされている場合、qedi は iSCSI PCIe 機能へのバインドに失敗します
QL41xxx ネットワークアダプター用のイーサネットドライバーである
qede ドライバーは、必要以上に多くの MSI-X ベクトルを割り当てます。その結果、qedi ドライバーは、ハードウェアによって公開されている iSCSI PCIe 機能にバインドできません。この問題を回避するには、qede ドライバーと qedi ドライバーの両方をアンロードし、qedi のみをロードします。その結果、qedi はハードウェアを通じて公開されている iSCSI 機能をプローブし、接続されている iSCSI ターゲットを見つけることができます。(BZ#1484047)
Radeon がカーネルパニックを引き起こします
セカンダリーまたはプライマリー GPU として
radeon カーネルドライバーを搭載した一部のシステムでは、amdgpu グラフィックスドライバーのバグが原因でシステムが起動に失敗することがあります。
回避策として、
Radeon カーネルドライバーをブラックリストに登録します。(BZ#1486100)
CPU のホットアドまたはホットリムーブ操作後に Kdump カーネルが起動に失敗する
Kdump が有効になっている IBM Power Systems のリトルエンディアンバリアント上で Red Hat Enterprise Linux 7 を実行している場合、CPU のホットアドまたはホットリムーブ操作の後に kexec によってトリガーされると、Kdump クラッシュカーネルは起動に失敗します。この問題を回避するには、CPU のホットアドまたはホットリムーブ後に kdump サービスを再起動します。
# systemctl restart kdump.service
(BZ#1549355)
