Capítulo 6. Mudanças importantes nos parâmetros do kernel externo

Este capítulo fornece aos administradores de sistemas um resumo das mudanças significativas no kernel distribuído com o Red Hat Enterprise Linux 8.2. Estas mudanças incluem entradas proc adicionadas ou atualizadas, valores default sysctl e sysfs, parâmetros de inicialização, opções de configuração do kernel ou quaisquer mudanças perceptíveis de comportamento.

6.1. Novos parâmetros do kernel

cpuidle.governor = [CPU_IDLE]
Nome do governador do cpuidle a ser usado.
deferred_probe_timeout = [KNL]

Este é um parâmetro de depuração para definir um tempo limite em segundos para que a sonda diferida desista de aguardar as dependências para sondar.

Somente as dependências específicas (subsistemas ou motoristas) que optaram por entrar serão ignoradas. Um timeout de 0 será timeout no final dos initcalls. Este parâmetro também descarta os dispositivos ainda na lista de sondas diferidas após nova tentativa.

kvm.nx_huge_pages = [KVM]

Este parâmetro controla o funcionamento do software para o bug X86_BUG_ITLB_MULTIHIT.

As opções são:

  • força - Sempre implantar workaround.
  • desligados - Nunca implante trabalho de volta.
  • auto (default) - Implantar workaround baseado na presença de X86_BUG_ITLB_MULTIHIT.

Se o software estiver habilitado para o anfitrião, os hóspedes não precisam habilitá-lo para os hóspedes aninhados.

kvm.nx_huge_pages_recovery_ratio = [KVM]
Este parâmetro controla quantas páginas de 4KiB são periodicamente zappingadas de volta para páginas enormes. 0 desativa a recuperação, caso contrário, se o valor for N, a Máquina Virtual baseada no Kernel (KVM) fará zap 1/Nth das páginas de 4KiB a cada minuto. O valor padrão é 60.
page_alloc.shuffle = [KNL]

Bandeira booleana para controlar se o alocador de páginas deve randomizar suas listas livres.

A randomização pode ser ativada automaticamente se o kernel detectar que está sendo executado em uma plataforma com um cache de memória mapeado diretamente no lado da memória. Este parâmetro pode ser usado para sobrepor/desabilitar esse comportamento.

O estado da bandeira pode ser lido a partir do pseudo sistema de arquivos sysfs do arquivo /sys/module/page_alloc/parameters/shuffle.

panic_print =

Máscara de bits para informações sobre o sistema de impressão quando o pânico acontece.

O usuário pode escolher a combinação das seguintes partes:

  • bit 0: imprimir todas as informações de tarefas
  • bit 1: informações sobre a memória do sistema de impressão
  • bit 2: informações sobre o temporizador de impressão
  • bit 3: imprimir informações sobre bloqueios se a configuração do kernel CONFIG_LOCKDEP estiver ligada
  • bit 4: imprimir o buffer ftrace
  • bit 5: imprimir todas as mensagens impressas em buffer
rcutree.sysrq_rcu = [KNL]
Commandeer uma chave sysrq para descarregar a árvore rcu_node da Tree RCU com um olho para determinar porque um novo período de carência ainda não começou.
rcutorture.fwd_progress = [KNL]
Habilitar a atualização de leitura-cópia (RCU) do período de carência para teste de progresso para os tipos de RCU que suportam esta noção.
rcutorture.fwd_progress_div = [KNL]
Especifique a fração de um período de aviso de instalação de CPU para fazer testes de avanço de loop apertado.
rcutorture.fwd_progress_holdoff = [KNL]
Número de segundos para esperar entre os sucessivos testes de avanço.
rcutorture.fwd_progress_need_resched = [KNL]
Encerre as chamadas cond_resched() dentro das verificações de necessidade_resched( ) durante os testes de avanço de loop apertado.
tsx = [X86]

Este parâmetro controla o recurso de Extensões de Sincronização Transacional (TSX) nos processadores Intel que suportam o controle TSX.

As opções são:

  • on - Habilitar o TSX no sistema. Embora haja atenuações para todas as vulnerabilidades de segurança conhecidas, o TSX acelerou vários CVEs anteriores relacionados à especulação. Como resultado, pode haver riscos de segurança desconhecidos associados a deixá-lo habilitado.
  • desligado - Desabilite o TSX no sistema. Esta opção tem efeito somente em CPUs mais novas que não são vulneráveis à Amostragem de Dados Microarquitetônicos (MDS). Em outras palavras, eles têm MSR_IA32_ARCH_CAPABILITIES.MDS_NO=1 e recebem o novo registro específico do Modelo IA32_TSX_CTRL (MSR) através de uma atualização do microcódigo. Este novo MSR permite uma desativação confiável da funcionalidade do TSX.
  • auto - Desative o TSX se X86_BUG_TAA estiver presente, caso contrário, habilite o TSX no sistema.

A não especificação deste parâmetro é equivalente a tsx=off.

Para obter detalhes, consulte a documentação do núcleo a montante.

tsx_async_abort = [X86,INTEL]

Este parâmetro controla a mitigação da vulnerabilidade do TSX Async Abort (TAA).

Semelhante ao MDS (Micro-arquitectural Data Sampling), certas CPUs que suportam Extensões de Sincronização Transacional (TSX) são vulneráveis a uma exploração contra buffers internos de CPU. O exploit é capaz de encaminhar informações para um gadget de divulgação sob certas condições.

Em processadores vulneráveis, os dados enviados especulativamente podem ser usados em um ataque de canal lateral de cache, para acessar dados aos quais o atacante não tem acesso direto.

As opções são:

  • total - Habilitar a mitigação do TAA em CPUs vulneráveis se o TSX estiver habilitado.
  • full,nosmt - Habilitar a mitigação do TAA e desabilitar a Multi-Tarefa Simultânea (SMT) em CPUs vulneráveis. Se o TSX estiver desativado, o SMT não está desativado porque a CPU não é vulnerável a ataques de TAA cruzados.

  • off - Desabilitar incondicionalmente a mitigação do TAA.

    Em máquinas afetadas pelo MDS, o parâmetro tsx_async_abort=off pode ser evitado por uma mitigação ativa do MDS, uma vez que ambas as vulnerabilidades são mitigadas com o mesmo mecanismo. Portanto, para desativar esta mitigação, é necessário especificar também o parâmetro mds=off.

    Não especificar esta opção é equivalente a tsx_async_abort=full. Nas CPUs que são MDS afetadas e implantam a mitigação MDS, a mitigação TAA não é necessária e não fornece nenhuma mitigação adicional.

Para obter detalhes, consulte a documentação do núcleo a montante.