Eu tenho uma máquina Intel quad-core com CPU i5-7400 @ 3.00GHz.
Recentemente, a Intel introduziu um novo conjunto de atualizações para máquinas afetadas pelas vulnerabilidades do espectro.
Pode-se ver o changelog.gz da atualização mais recente em Debian paste . Acabei de compartilhar a atualização mais recente.
Agora, quando executo o seguinte comando -
$ sudo iucode_tool -tb -lS /lib/firmware/intel-ucode/*
Recebo uma lista de todos os pacotes e posso confirmar que o firmware foi atualizado verificando os códigos hexadecimais pf_mask, datas, número de revisão e tamanho do arquivo em bytes.
Meu problema ou pergunta é: devo deixar as modificações como coloquei ou comentá-las novamente em /etc/default/microcode ?
$ cat /etc/default/intel-microcode
# Configuration script for intel-microcode version 3
#
# initramfs helper
#
# Set this to "no" to disable automatic microcode updates on boot;
# Set this to "auto" to use early initramfs mode automatically (default);
# Set this to "early" to always attempt to create an early initramfs;
IUCODE_TOOL_INITRAMFS=auto
# Set this to "yes" (default) to use "iucode_tool --scan-system" to reduce
# the initramfs size bloat, by detecting which Intel processors are active
# in this system, and installing only their microcodes.
#
# Set this to "no" to either include all microcodes, or only the microcodes
# selected through the use of IUCODE_TOOL_EXTRA_OPTIONS below.
#
# WARNING: including all microcodes will increase initramfs size greatly.
# This can cause boot issues if the initramfs is already large.
IUCODE_TOOL_SCANCPUS=yes
# Extra options to pass to iucode_tool, useful to forbid or to
# force the inclusion of microcode for specific processor signatures.
# See iucode_tool(8) for details.
#IUCODE_TOOL_EXTRA_OPTIONS=""
Ansioso para saber qual é o melhor caminho. Eu também consultei a página wiki para o mesmo e parecia ter alguns detalhes interessantes -
$ zgrep "microcode updated early to" /var/log/kern.log*
/var/log/kern.log:Nov 14 02:59:32 debian kernel: [ 0.000000] microcode: microcode updated early to revision xxxx, date = 2019-04-01
/var/log/kern.log:Nov 15 10:16:23 debian kernel: [ 0.000000] microcode: microcode updated early to revision xxxx, date = 2019-08-14
Descobri que houve algumas atualizações no microcódigo intel e tenho a atualização mais recente -
$ apt-cache policy intel-microcode
intel-microcode:
Installed: 3.20191112.1
Candidate: 3.20191112.1
Version table:
*** 3.20191112.1 900
900 http://cdn-fastly.deb.debian.org/debian testing/non-free amd64 Packages
100 http://cdn-fastly.deb.debian.org/debian unstable/non-free amd64 Packages
100 /var/lib/dpkg/status
O que parece ser interessante no log do kernel é que o código/versão hexadecimal da revisão mudou drasticamente da versão anterior.
/etc/default/intel-microcodeé gerenciado como um arquivo conf, entãodpkgserá solicitado se necessário durante as atualizações. É seguro fazer alterações e mantê-las; é para isso que todo o sistema conffile foi projetado.No entanto, suas alterações equivalem apenas a descomentar as configurações padrão, portanto, você não perderá nada ao reverter para a versão original e evitará qualquer solicitação durante as atualizações.
Em relação aos problemas de revisão, isso depende da Intel; parece que eles tiveram que passar por várias revisões internamente para algumas CPUs antes de estabilizar as atualizações (e corrigir os problemas que deveriam corrigir).