Vai al contenuto
⚠️ Warning: Extraordinary electrical maintenance – Scheduled shutdown of the Cloud garr-ct1 region (Catania) from 22 to 29 July 2025. For more details, please read the maintenance notice.

Disabilitare le patch del Kernel

NOTA BENE: La seguente ricetta si applica alle macchine CentOS.

I kernel recenti che introducono fix/patch per i problemi Meltdown/Spectre causano rallentamenti delle macchine. Ci possono essere casi in cui questo rallentamento impatta troppo pesantemente sulle operazioni, e d'altra parte la sicurezza della macchina è curata con altri mezzi: nel nostro setup questo è il caso per i nostri server di storage.

Su tali macchine, c'è un modo semplice per mantenersi aggiornati con i kernel e disabilitare i recenti fix di sicurezza.

Procedi come segue:

  • Aggiorna al kernel più recente:

    $ yum update

  • Vedi quali kernel sono disponibili:

    $ grubby --info=ALL | grep -e kernel -e args

  • Scegli il kernel per il quale vuoi disabilitare i fix di sicurezza, per esempio: 3.10.0-693.17.1.el7.x86_64:

    $ grubby --args='noibrs noibpb nopti' --update-kernel /boot/vmlinuz-3.10.0-693.17.1.el7.x86_64 $ grubby --info=ALL | grep -e kernel -e args

  • Poi, riavvia il tuo server.

Dopo l'avvio, controlla che le patch siano effettivamente disabilitate, i seguenti comandi dovrebbero restituire '0':

$ cat /sys/kernel/debug/x86/pti_enabled
$ cat /sys/kernel/debug/x86/ibpb_enabled
$ cat /sys/kernel/debug/x86/ibrs_enabled