IOMMU : Évaluation des Performances Réseau Le sujet est résolu

Demande d'aide : c'est ici.
Répondre
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1150
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

25 déc. 2020, 14:53

Bonjour,

SVP, pardonnez-moi si la question est vague ou mal formulée
car j'aborde un nouveau continent ...
:icon_e_ugeek:


Contexte > VPS

Je poursuis mon éducation : Serveur HTTP/SMPT/FTP/...

Pour cela, je mets en application les recommandations de sécurité préconisées dans : OpenClassRooms | Audit Sécurité d'un Système Linux

Parmis lesquelles :

iommu=force passé comme Paramètre de démarrage du noyau

à placer dans le fichier : /etc/default/grub

comme argument de la directive :

Code : Tout sélectionner

GRUB_CMDLINE_LINUX_DEFAULT="... iommu=force"
Pour ceux que cela intéressent voir : The kernel’s command-line parameters
qui dresse la liste des paramètres de commande du noyau et des valeurs qu'ils admettent.

Pour ce qui est de IOMMU j'en ai compris que son activation forcée protège des accès incontrôlés en mémoire par les périphériques (potentielles sources de vulnérabilité (les périphériques))
...ça commence à pas être trop clair pour moi : comment savoir si un périphérique est vulnérable ???

Donc en aveugle => On bloque tous les accès ?

Mais cherchant à en savoir plus,
je trouve : x86, iommu/vt-d: Add an option to disable Intel IOMMU force on
qui commence par :
IOMMU harms performance signficantly when we run very fast networking
workloads...
qu'on peut traduire par :

"IOMMU nuit considérablement aux performances des applications réseaux très rapides"

Vu qu'en général, quand il s'agit de réseau on recherche la meilleure vitesse,
j'aurais tendance à généraliser la potentielle nuisance de cette option.


Questions

1. Votre avis sur l'opportunité de cette option pour un serveur web.

2. Comment évaluer concrètement l'impact de cette mesure ? Par quel test ?


Merci.
Debian testing/stable - XFCE
Avatar du membre
PengouinPdt
Contributeur
Contributeur
Messages : 1324
Enregistré le : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors ligne

25 déc. 2020, 18:40

Salut, en son temps, càd 2017, j'avais écrit cet article :
- https://doc.huc.fr.eu.org/fr/sec/linux/durcir-iommu/

Après si Linus, ou un des dév du noyau Linux, affirme que cela peut poser ou pose des problèmes sur la charge réseau, il doit avoir ses raisons. Ce qu'il serait bon de savoir est de quel type de réseau, il "parle".
Parce qu'en soit "fast networking" veut tout et rien dire. Pour rappel, un réseau basé sur du câblage et interface réseau 100 Mbs est en soit appelé "Fast Ethernet" ; je n'ose croire qu'il parle de cela. ;)

De ce que j'entre-lis, c'est vraiment des réseaux de très très haut-débit, en phase de test apparemment :
's 40GB networking doing XDP test

Sincèrement, je ne pense pas que tu sois concerné par ces mesures, quand bien même tu aurais à tes disponibilités un réseau 10 Gbits. :p

Bien sûr, je peux totalement me tromper dans l'analyse du problème. Personnellement, je t'invite à considérer l'IOMMU comme étant une nécessité de sécurité, si cet aspect t'es nécessaire et important.
Quant à l'évaluer, à moins de faire partie des équipes réseaux qui font partie de ce genre de challenge… hum, comment dire ? probable ?! ;)
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - [barre]Debian Sid[/barre]|Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1150
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

25 déc. 2020, 19:00

Tu as probablement raison en pensant que je ne suis pas concerné :dirol:

... voilà ce que c'est de vouloir trop chercher la petite bête :117:

Je vais suivre ton conseil :
dezix a écrit :
25 déc. 2020, 14:53
je t'invite à considérer l'IOMMU comme étant une nécessité de sécurité
... merci pour l'invitation :good:

Je verrai bien à l'usage si tout fonctionne comme je le souhaite,
il sera toujours temps de revenir en arrière.

Merci.
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3541
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

26 déc. 2020, 18:24

Pour durcir un systeme debian, je pars sur la base de l'ANSII
https://www.ssi.gouv.fr/guide/recommand ... -gnulinux/
J'avoue n'appliquer que les plus faciles ...
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1150
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

26 déc. 2020, 18:41

Merci pour ce lien,
j'ai téléchargé... soixante pages ça va c'est pas trop copieux.
y a plus qu'à y faire son marché :023:
Debian testing/stable - XFCE
Répondre