5.2. 对外部内核参数的重要更改

本章为系统管理员提供了随 Red Hat Enterprise Linux 8.2 发布的内核的显著变化摘要。这些更改包括添加或更新的 proc 条目、sys ctl 和 sysfs 默认值、引导参数、内核配置选项或任何可见的行为更改。

5.2.1. 新内核参数

cpuidle.governor = [CPU_IDLE]
要使用的 cpuidle 调控器的名称。
deferred_probe_timeout = [KNL]

这是用于设置超时(以秒为单位)的调试参数,以便延迟探测放弃等待依赖关系到探测。

只有已选择的特定依赖程序(子系统或驱动程序)才会被忽略。超时为 0,将在 initcalls 结束时超时。此参数还会在重试后在延迟探测列表中转储仍然在延迟探测列表中的设备。

kvm.nx_huge_pages = [KVM]

这个参数控制 X86_BUG_ITLB_MULTIHIT 错误的软件临时解决方案。

这些选项是:

  • force - 始终部署临时解决方案。
  • off - 无法部署临时解决方案。
  • auto (默认)- 根据 X86_BUG_ITLB_MULTIHIT 的存在部署临时解决方案。

如果为主机启用了软件临时解决方案,则客户机不需要为嵌套的客户机启用它。

kvm.nx_huge_pages_recovery_ratio = [KVM]
此参数控制定期将多少 4KiB 页面配置回大页面。0 可禁用恢复;否则,如果值为 N,基于内核的虚拟机(KVM)将每分钟中断 4KiB 页面的 1/N。默认值为 60。
page_alloc.shuffle = [KNL]

布尔值标志,以控制页面分配器是否应该随机化其空闲列表。

如果内核检测到它正在具有直接映射内存端缓存的平台上运行,可自动启用随机化。此参数可用于覆盖/禁用该行为。

标志的状态可以从 /sys/module/page_alloc/parameters/shuffle 文件中的 sysfs 伪文件系统读取。

panic_print =

发生异常时,位掩码用于打印系统信息.

用户可以选择以下位的组合:

  • 位 0:打印所有任务信息
  • 位 1:打印系统内存信息
  • 第 2 位:打印计时器信息
  • 位 3:如果 CONFIG_LOCKDEP 内核配置启用,打印锁定信息
  • 位 4:打印 ftrace 缓冲区
  • 位 5: 打印缓冲区 中的所有打印信息
rcutree.sysrq_rcu = [KNL]
命令提供一个 sysrq 键,以转储 Tree RCU 的 rcu_node 树,并了解为什么新的宽限期尚未启动。
rcutorture.fwd_progress = [KNL]
为支持此概念的 RCU 类型启用 Read-copy update(RCU)grace-period forward-progress 测试。
rcutorture.fwd_progress_div = [KNL]
指定 CPU-stall-warning 期间的比例来进行紧凑的正向测试。
rcutorture.fwd_progress_holdoff = [KNL]
连续的 forward-progress 测试之间等待的秒数。
rcutorture.fwd_progress_need_resched = [KNL]
在紧凑的 forward-progress 测试过程中,将 cond _resched() 调用括在检查 need _resched()内。
tsx = [X86]

此参数控制支持 TSX 控制的 Intel 处理器中的事务同步扩展(TSX)功能。

这些选项是:

  • on - 在系统上启用 TSX。虽然所有已知的安全漏洞都有缓解措施,但 TSX 加速了几个与假设相关的 CVE。因此,在启用它时可能会存在未知的安全风险。
  • off - 在系统上禁用 TSX。此选项仅对不易受 Microarchitectural Data Sampling(MDS)的较新的 CPU 起作用。换句话说,他们有 MSR_IA32_ARCH_CAPABILITIES.MDS_NO=1,并通过 microcode 更新获取新的 IA32_TSX_CTRL 模型特定寄存器(MSR)。这个新的 MSR 可以可靠地取消激活 TSX 地功能。
  • auto - 如果存在 X86_BUG_TAA,则禁用 TSX,否则在系统上启用 TSX。

不指定这个参数等同于 tsx=off

详情请查看上游内核文档

tsx_async_abort = [X86,INTEL]

此参数用来控制对 TSX Async Abort(TAA)漏洞的缓解方案。

与 MDS(Micro-architectural Data Sampling)类似,某些支持 TSX(Transactional Synchronization Extensions)的 CPU 可能会受到 CPU 内部缓冲区的攻击。该漏洞在某些情况下可将信息转发给泄漏小工具。

在存在安全漏洞的处理器中,缓存侧频道攻击可以利用预测的数据转发,访问到应该无法直接访问到的数据。

这些选项是:

  • Complete - 如果启用了 TSX,则对存在安全漏洞的 CPU 启用 TAA 缓解方案。
  • 完全,nosmt - 在存在安全漏洞的 CPU 上启用 TAA 缓解并禁用同步多线程(SMT)如果已禁用了 TSX,则不会禁用 SMT,因为 CPU 不会受到跨线程 TAA 攻击。

  • off - 不 条件禁用 TAA 缓解方案。

    在 MDS 受影响的机器上,可以通过活跃的 MDS 缓解来防止 tsx_async_abort=off 参数,因为这两个漏洞都使用相同的机制缓解。因此,要禁用这个缓解方案,还需要指定 sds=off 参数。

    不指定这个选项等同于 tsx_async_abort=full。对于受 MDS 影响并实施了 MDS 缓解方案的 CPU 中,则不需要使用 TAA 缓解方案,它并不会提供任何额外的缓解。

详情请查看上游内核文档