PVE – 비추천 설정 Mitigations

소프트웨어건 하드웨어건 보안 취약점이란 것이 존재합니다. 그리고 안타깝게도 CPU에도 보안 취약점이 존재합니다.

이 CPU의 보안 취약점에 대응하기 위해서 BIOS, 마이크로코드 등을 업데이트 합니다. 그래도 해결이 안되면 OS 차원에서 보안 위협을 완화(mitigation)할 수 있는 알고리즘을 사용해서 대응하게 됩니다.

다만, 이 과정에서 CPU 성능이 떨어지게 됩니다. 아래 링크의 자료를 보면 mitigation을 적용(on) 했을 때 성능 차이를 보여주고 있습니다.

출처 : https://www.phoronix.com/review/3-years-specmelt/9

구세대일 수록 성능 차이가 많이 나는 것을 볼 수 있습니다.

그래서 성능이 아쉬운 경우에는 완화(mitigation) 기능을 끄고(off) 사용하는 것을 고민하게 됩니다.

이 보안 취약점 완화 기능을 끄고 사용하는 것은 비권장 방법입니다. 스스로의 책임하에 제한적으로 사용하시기 바랍니다.

CPU 보안 취약점 확인

lscpu 명령을 사용하면 그림과 같은 결과를 보여줍니다. 이 중에 아래에 Vulnerabilities 아래에 표시된 것들이 CPU의 보안 취약점과 관련된 내용입니다.

각 항목들에는 다음과 같은 내용이 표시됩니다.

  • Vulnerable : 취약한 상태
  • Not affected : 영향 받지 않음
  • Mitigation : 완화됨

mitigation=off 방법

Mitigation 설정은 부팅할 때 커널 파라메타를 통해서만 설정할 수 있습니다.

(1) Proxmox VE 노드에 root로 로그인

(2) /etc/default/grub 파일에서 GRUB_CMDLINE_LINUX_DEFAULT="quiet" 로 표시된 항목을 GRUB_CMDLINE_LINUX_DEFAULT="quiet mitigations=off"로 수정

(4) update-grub 명령 실행

(5) 리부팅(reboot)

적용 여부 확인

리부팅한 이후에 lscpu 명령을 이용해서 적용 여부를 확인합니다.

그림에서 보는 것 처럼 앞서 Mitigation으로 표시되던 항목들 일부가 Vulerable로 표시되고 있습니다. 즉 해당 보안 취약점에 위험한 상태로 변한 것입니다.

다시 한번 강조 합니다.

보안 취약점 완화 기능을 끄고 사용하는 것은 비권장 방법입니다. 스스로의 책임하에 제한적으로 사용하시기 바랍니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like