我有一台具有 i5-7400 CPU @ 3.00GHz 的四核英特尔机器。
最近,英特尔为受幽灵漏洞影响的机器推出了一系列新的更新。
可以在 Debian paste看到最新更新的 changelog.gz 。我刚刚分享了最新的更新。
现在当我运行以下命令时 -
$ sudo iucode_tool -tb -lS /lib/firmware/intel-ucode/*
我得到了所有捆绑包的列表,并且能够通过检查 pf_mask 十六进制代码、日期、修订号和文件大小(以字节为单位)来确认固件已更新。
我的问题或疑问是:我是否应该在 /etc/default/microcode 中保留已放置的修改或再次将其注释掉?
$ cat /etc/default/intel-microcode
# Configuration script for intel-microcode version 3
#
# initramfs helper
#
# Set this to "no" to disable automatic microcode updates on boot;
# Set this to "auto" to use early initramfs mode automatically (default);
# Set this to "early" to always attempt to create an early initramfs;
IUCODE_TOOL_INITRAMFS=auto
# Set this to "yes" (default) to use "iucode_tool --scan-system" to reduce
# the initramfs size bloat, by detecting which Intel processors are active
# in this system, and installing only their microcodes.
#
# Set this to "no" to either include all microcodes, or only the microcodes
# selected through the use of IUCODE_TOOL_EXTRA_OPTIONS below.
#
# WARNING: including all microcodes will increase initramfs size greatly.
# This can cause boot issues if the initramfs is already large.
IUCODE_TOOL_SCANCPUS=yes
# Extra options to pass to iucode_tool, useful to forbid or to
# force the inclusion of microcode for specific processor signatures.
# See iucode_tool(8) for details.
#IUCODE_TOOL_EXTRA_OPTIONS=""
期待知道什么是最好的方法。我也确实咨询了 wiki页面 ,它似乎有一些有趣的细节 -
$ zgrep "microcode updated early to" /var/log/kern.log*
/var/log/kern.log:Nov 14 02:59:32 debian kernel: [ 0.000000] microcode: microcode updated early to revision xxxx, date = 2019-04-01
/var/log/kern.log:Nov 15 10:16:23 debian kernel: [ 0.000000] microcode: microcode updated early to revision xxxx, date = 2019-08-14
我确实发现英特尔微码有几个更新,我有最新的更新 -
$ apt-cache policy intel-microcode
intel-microcode:
Installed: 3.20191112.1
Candidate: 3.20191112.1
Version table:
*** 3.20191112.1 900
900 http://cdn-fastly.deb.debian.org/debian testing/non-free amd64 Packages
100 http://cdn-fastly.deb.debian.org/debian unstable/non-free amd64 Packages
100 /var/lib/dpkg/status
内核日志中似乎有趣的是,修订版十六进制代码/版本与之前的版本相比发生了巨大变化。
/etc/default/intel-microcode以 conffile 形式管理,因此dpkg在升级过程中必要时会提示。对其进行更改并保留它们是安全的;这就是整个 conffile 系统的设计目的。但是,您的更改仅相当于取消注释默认设置,因此恢复到原始版本不会丢失任何内容,并且在升级期间将避免任何提示。
关于修订问题,这取决于英特尔;似乎他们必须在内部对某些 CPU 进行多次修订,然后才能稳定更新(并修复他们应该修复的问题)。