Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Her mit euerem Fazit zu Meltdown und Spectre
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2048
Location: Bardowick, Germany

PostPosted: Thu Feb 08, 2018 4:34 pm    Post subject: Reply with quote

franzf wrote:
Yamakuzure wrote:
Eine solche Änderung gab es bislang nicht wieder. Du kannst gcc-6.x und gcc-7.x nach Lust und Laune mischen. (Habe ich schon vorwärts und rückwärts gemacht, wenn auch nicht ganz freiwillig, und mein Laptop ist nicht explodiert. ;-) )
Danke für deinen Kommentar. Aber gerade wurde das hier gemeldet:
https://bugs.gentoo.org/646946
Ich hoffe es ist am Ende ein Konfigurationsproblem oder ein bug im nouveau-ebuild. Ich werde das auf jeden Fall beobachten.
Dazu fallen mir zwei Dinge ein:
  1. nouveau neu bauen, was eine Sache von unter einer Minute wäre, hätte das sicher schon gelöst.
  2. Ich schrieb ja: "bislang". ;-)
Spaß beiseite, das sieht mir wirklich nach einem Bug aus.

ChrisJumper wrote:
(...)***Genau genommen hatte ich mit eix eine Liste aller installierter Pakete erstellt..

Code:
# eix -Ic > list_all_packages_now.txt
# cat list_all_packages_now.txt | grep -v 02.2018 | grep -v 31.01.2018 | awk '{print $2}' > packeges_to_merge.txt


....die dann mit grep gefiltert.
Vielleicht wäre "eix-after -b sys-devel/gcc" einfacher gewesen...

Letztendlich hat man ja aber immer das Problem, dass man dann auch viele Pakete neu baut, die den gcc gar nicht verwenden. Finde ich immer blöd, aber mir ist noch keine schlaue Methode eingefallen, solche Pakete automatisch rausfiltern zu lassen... :?
_________________
elogind
(elogind) - [TRACKER] sys-auth/elogind - Integration into Gentoo
"A conservative is a man who is too cowardly to fight and too fat to run."
-- Elbert Hubbard
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2068
Location: Germany

PostPosted: Thu Feb 08, 2018 7:35 pm    Post subject: Reply with quote

Oh eix-after kannte ich noch gar nicht, danke für den Hinweis. Im Nachhinein klingt das logisch. Ich dachte aber auch eher daran das die neuen Compiler, da sie ja vielleicht Assemblercode mit einem Zusatz versehen, eher wirken wie eine Compiler-Optimierung und deswegen alles neu bauen müssen.

Deswegen verwunderte es mich das es reicht den Kernel mit gcc 7.x zu bauen. Aber es scheint als sei das ein erster Hotfix und die neuen Compiler-Flags/Optimierungen kommen wohl erst später.

Es ist wie schon vermutet eher eine Langzeit-Entwicklung.

Aber mal eine ganz andere frage: Wenn ich einen Treiber habe der als Quellcode vor liegt, muss ich den dann mit dem selben Compiler bauen wie den Kernel oder?

Muss gleich mal schauen ob das bei meiner Fernsehkarte klappt. Die Proprietären Realtec-Sourcen konnten jedenfalls nicht mit gcc-7.3 gebaut werden, worauf hin ich die einfach runter werfen konnte und den Treiber im Kernel aktivierte. Der für diese eine Karte, zum Glück, funktionierte!

Wen hier jemand so mutig war und hat mit 6.4 einen Kernelmodul gebaut zu den richtigen Kernelsourcen.., welcher aber in 7.3 gebaut wurde schreibt doch mal eure Erfahrungen ob das Modul trotzdem geladen wurde oder ob es zu einer Kernelpanik kam. ;)

Vielleicht probiere ich das ja gleich mal aus wenn die DVB-Karte mit 7.3 nicht will...
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 5896

PostPosted: Fri Feb 09, 2018 11:26 am    Post subject: Reply with quote

ChrisJumper wrote:
Deswegen verwunderte es mich das es reicht den Kernel mit gcc 7.x zu bauen.

Das reicht für meltdown. Für spectre nicht: Im Userspace musst Du schon selbst alles mit den richtigen Flags neubauen
Quote:
Aber es scheint als sei das ein erster Hotfix und die neuen Compiler-Flags/Optimierungen kommen wohl erst später.

???
Die Flags gibt es in gcc-7.3:
Code:
-fno-plt -mindirect-branch=thunk -mfunction-return=thunk
sind meiner bisherigen Kenntnis nach die richtigen Flags für Userspace.
Quote:
Wenn ich einen Treiber habe der als Quellcode vor liegt, muss ich den dann mit dem selben Compiler bauen wie den Kernel oder?

I.A. nicht. Aber im speziellen Fall wäre es unklug, einen gcc zu nehmen, der die entsprechenden Optionen nicht hat, weil Du Dir mit dem Treiber dann wieder Sicherheitslöcher in den Kernel schießt. Mölglicherweise läuft der Build auch gar nicht durch, weil die Optionen ggf. automatisch dazugefügt werden.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2068
Location: Germany

PostPosted: Sun Feb 11, 2018 6:43 pm    Post subject: Reply with quote

Hi mv!

Ja ich bin immer einen Schritt zu langsam gewesen. Gleichzeitig sind die Schritte aber noch nicht wirklich als stabil einzustufen. Daher warte ich diesmal noch einen Schritt ab bevor ich mit den Flags mein ganzes System neu baue.

Von den neuen Kernel die jetzt Spectre V1 Schutz haben wusste ich zu dem Zeitpunkt auch noch nichts. Hab jetzt aber auf allen Systemen, auch den Servern Kernel 4.15.2 im Einsatz gebaut mit gcc 7.3. Auch wenn andere hier bisher von einem Bug berichteten, hab ich nur ein Systeme mit 7.3 (aber ohne -fno-plt -mindirect-branch=thunk -mfunction-return=thunk) neu gebaut.

Rolle die Desktops aktuell noch Schrittweise aus und möchte erst mal testen ob ich da Einschränkungen hab.

Hier noch mal zusammen gefasst die Kernel-Settings..
Code:
Für Retpoline: (Ab Kernel 4.15.0, 4.9.79?) (Spectre v2)
Processor type and features: -> Avoid speculative indirect branches in Kernel

Zusätzlich den Kernel und die Module selber mit größer oder glich gcc 7.2 bauen.

Code:
Für Page Table Isolation: (Ab Kernel 4.14.11, 4.9.77?) (Meltdown)
Security Options: -> Remove the kernel mapping in user mode


Code:
Für __user pointer sanitization: (Ab Kernel 4.15.2, 4.14.18?) (Spectre v1)
Security Options: -> Harden memory copies between Kernel and userspace
                          -> Harden common str/mem functions against buffer overflows


Code:
cat /sys/devices/system/cpu/vulnerabilities/*
Mitigation: PTI
Mitigation: __user pointer sanitization
Mitigation: Full generic retpoline


Last edited by ChrisJumper on Mon Feb 12, 2018 9:22 am; edited 1 time in total
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 5896

PostPosted: Sun Feb 11, 2018 8:33 pm    Post subject: Reply with quote

ChrisJumper wrote:
Code:
                          -> Harden common str/mem functions against buffer overflows
                          -> Force all usermod helper calls through a single binary

Diese beiden Schalter haben m.W. nichts mit spectre/meltdown zu tun.
Den ersten (Harden common...) zu aktivieren, kann nicht schaden, wenngleich er auf gentoo vermutlich ohnehin aktiv ist: Er aktiviert nur -DFORTIFY_SOURCE=2.
Den zweiten (Force all...) verstehe ich nicht, denn dann muss alles über ein Binary laufen, das bei mir nicht existiert. Und vermutllich müssen dann auch einige Dinge (udev usw.) entsprechend angepasst werden.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2068
Location: Germany

PostPosted: Mon Feb 12, 2018 9:21 am    Post subject: Reply with quote

Stimmt den Usermode-Helper braucht man nicht. Das Binary existiert bei mir auch nicht und ist wohl eher ein Hook für externe Programme. Auch schon seit einigen Jahren im Kernel, hab es einfach mal gesetzt weil ich nirgendwo eine Information fand welche Erweiterung jetzt für Spectre v1 zuständig war.

Das ist schon klasse wenn man bestimmt 20 IT-News-Seiten findet die zwar darüber berichten aber keine einzige geht mal ins Detail oder beschreibt die Settings. Welche halt auch nicht als neue Voreinstellung mit dem Kernel kommen .. danke für den Hinweis ich nehme das mal aus der Zusammenfassung raus.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2
Page 2 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum