Oui, et en cas d'absence de ces microcodes, les protections ne peuvent fonctionner, et donc c'est comme si elles étaient désactivées.

Le mar. 17 déc. 2019 à 16:48, Florian Stosse <florian.stosse@gmail.com> a écrit :
Hello,

A tout hasard, est ce que tu appliques également les mises à jour du microcode Intel à la volée lors du boot, avec le paquet intel-microcode ? La différence de performances peut aussi venir de là.

--
Florian STOSSE | Ingénieur en sécurité informatique


Le mar. 17 déc. 2019 à 16:26, Greg <greg-frsag@duchatelet.net> a écrit :
Bonjour,

Les derniers Kernel semblent plus mauvais en terme de performance.
Un serveur fonctionnait sur un kernel "maison" 4.14, j'ai voulu le remettre en kernel officiel Debian Buster donc 4.19, les performances se sont écroulées: hausse de la conso CPU, du load, et augmentation des temps de réponse PHP de l'ordre de +50% !
Le dernier kernel 5.3 n'apportera aucune solution.

On peut depuis le 5.2 désactiver les protections contre les failles de sécurité affectant tous les processeurs modernes (pas que Intel, mais aussi ARM, AMD et MIPS) avec le paramètre de boot mitigations=off
C'est mieux, mais je ne retrouve pas les perfs du 4.14 (conso CPU et temps de réponse).


Voilà ce que ça donne sur un serveur en production :

cpu.png


Savez vous ce qu'il faudrait faire pour retourner au niveau de perf du 4.14 ?

Merci !
--
Greg
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


--
Greg