作者:admin,发布日期:2018-05-11
阅读:5347;评论:0
写在开头
为了解决近期爆出的MeltDown漏洞带来的安全风险,新版本内核默认开启了KPTI(内核页表隔离),以修复该漏洞。
然而,根据测试,开启KPTI可能对虚机性能产生5%-30%的影响。计算类业务影响较小,IO/内存类业务则影响较大。
您可以根据实际情况判断是否关闭KPTI,以在承担安全风险的前提下,恢复性能。
关闭方法
Centos6.X
1) 关闭KPTI
vim /boot/grub/grub.conf
在 kernel 行追加
nopti
重启服务器生效
2) 验证是否已关闭
输入命令:
dmesg | grep isolation
若展示以下信息,则表明KPTI仍是开启的。
x86/pti: Kernel page table isolation enabled
如果关闭成功 上面的这一行信息则不会展示。
Centos7.X
1) 关闭KPTI
输入命令:
vim /etc/default/grub GRUB_CMDLINE_LINUX="rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet"
在quiet后面增加
nopti
修改好之后的参数应该类似于这样
GRUB_CMDLINE_LINUX="rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet nopti"
接着重新生成grub配置
grub2-mkconfig -o /boot/grub2/grub.cfg
重启服务器生效
2) 验证是否已关闭
输入命令:
dmesg | grep isolation
若展示以下信息,则表明KPTI仍是开启的。
x86/pti: Unmapping kernel while in userspace
如果关闭成功 上面的这一行信息则不会展示。
![[商家推荐] AkkoCloud - 国内大带宽NAT | 我的世界面板服务器 | 全新美国圣何塞GIA季度特惠套餐已上线](https://blog.craftyun.cn/zb_users/upload/2020/02/202002081581165951411715.png){kind=avatar}
![[教程] 使用组策略关闭Windows defender之后Windows Defender Antivirus Service还占用内存的解决方案](https://blog.craftyun.cn/zb_users/upload/2019/06/201906121560336426769922.png){kind=avatar}
![[Vue3] Vite中使用cdn来加载需要的库文件](https://blog.craftyun.cn/zb_users/upload/2021/02/202102061612623404747437.jpg){kind=avatar}
![[技巧]腾讯云服务器自助更换IP教程(无需任何费用)](https://blog.craftyun.cn/zb_users/upload/2017/11/201711281511834748513907.png){kind=avatar}