先说结论:将 pti=off
或者 nopti
加入内核命令行。当然,这样做理论上很不清真。禁用安全补丁是什么心态?对 Haswell,Ivy Bridge 这些老架构来说,PTI 补丁导致的性能损失相当可观,主要是系统调用密集型程序,日常来说像大量小文件的读写也受影响。
PTI 补丁可以说是性能跟安全的 Tradeoff,但最终选择权应当留给用户本人。PC 不比服务器,没有复杂的环境和需求,现代 PC 不论运行何种操作系统都是事实上的单用户系统,所有请求所有命令来自 PC 用户本人,用户使用机器的全部资源,也对机器的安全负全责。
只从可信来源获取程序,养成校对校验和的习惯,谨慎检查来路不明的程序不盲目运行…… 不论有无漏洞或补丁,这些常规做法都是必须的,也足以应对 Meltdown 这类用户态突破内核态的漏洞。特殊如浏览器这类运行外部 js 的程序则需要及时升级,例如 Chrome 稳定版早已增加针对 Meltdown/Spectre exploits 的防护。所以运行桌面 Linux 的 PC 没有开启 PTI 的必要。
当然,以上仅为个人观点,具体操作需自行权衡,后果自负
注:
- 内核命令行选项,详细 Kernel Parameters.
- “Meltdown” 指 CVE-2017-5754,更多 meltdownattack.com