Gleich in mehreren Sessions der Linux Plumbers Conference ging es um Sicherheit und Performance in Zeiten von Prozessor-Sicherheitslücken wie MDS, L1TF, Spectre und Meltdown. Die Entwickler arbeiten daran, mit Linux Intels Hyper-Threading wieder sicher nutzen zu können. Momentan muss es zum Schutz vor den Prozessor-Schwachstellen deaktiviert werden.

Das maßgeblich von einem Intel-Mitarbeiter entwickelten "Core-Scheduling" soll Hyper-Threading auch auf Prozessoren mit den Schwachstellen ermöglichen. Dabei werden Prozesse, bei denen untereinander keine Angriffsgefahr besteht, in Gruppen gebündelt. Der Scheduler führt eine solche Gruppe dann auf einem HT-fähigen CPU-Kern parallel aus - aber nie zur selben Zeit mit Prozessen außerhalb der Gruppe.

Weitere diskutierte Ansätze sind KVM Address Isolation, Namespace Local Memory, Kernel Page Table and Context Consolidation und Process Local Memory.

Allerdings wollen die Entwickler erstmal die Grundlagen für die Ansätze schaffen. Dabei werden sie zeigen müssen, dass die den Aufwand wert sind. Denn die Diskussionen zeigen, dass tiefgründige Umbauten für die Ansätze erforderlich wären; einige zentrale Kernel-Entwickler bezweifeln, dass die zusätzliche Sicherheit diesen Aufwand wert ist.

(tl, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE