我应该保留对 /etc/default/intel-microcode 的修改和修订号的更改吗?

tag-icon tag-icon debian security intel firmware
我应该保留对 /etc/default/intel-microcode 的修改和修订号的更改吗?

我有一台四核英特尔机器,具有 i5-7400 CPU @ 3.00GHz 。

最近,英特尔针对受幽灵漏洞影响的机器推出了一系列新的更新。

可以看到Debian最新更新的changelog.gz粘贴。我刚刚分享了最新的更新。

现在,当我运行以下命令时 -

$ sudo iucode_tool -tb -lS /lib/firmware/intel-ucode/*

我获得了所有捆绑包的列表,并且能够通过检查 pf_mask 十六进制代码、日期、修订号和文件大小(以字节为单位)来确认固件是否已更新。

我的问题或问题是:我应该保留我在 /etc/default/microcode 中放置或再次注释掉的修改吗?

$ cat /etc/default/intel-microcode
# Configuration script for intel-microcode version 3

#
# initramfs helper
#

# Set this to "no" to disable automatic microcode updates on boot;
# Set this to "auto" to use early initramfs mode automatically (default);
# Set this to "early" to always attempt to create an early initramfs;
IUCODE_TOOL_INITRAMFS=auto

# Set this to "yes" (default) to use "iucode_tool --scan-system" to reduce
# the initramfs size bloat, by detecting which Intel processors are active
# in this system, and installing only their microcodes.
#
# Set this to "no" to either include all microcodes, or only the microcodes
# selected through the use of IUCODE_TOOL_EXTRA_OPTIONS below.
#
# WARNING: including all microcodes will increase initramfs size greatly.
# This can cause boot issues if the initramfs is already large.
IUCODE_TOOL_SCANCPUS=yes

# Extra options to pass to iucode_tool, useful to forbid or to
# force the inclusion of microcode for specific processor signatures.
# See iucode_tool(8) for details.
#IUCODE_TOOL_EXTRA_OPTIONS=""

期待知道什么是最好的方法。我也查阅了维基 同样,它似乎有一些有趣的细节 -

$ zgrep "microcode updated early to" /var/log/kern.log*
/var/log/kern.log:Nov 14 02:59:32 debian kernel: [    0.000000] microcode: microcode updated early to revision xxxx, date = 2019-04-01
/var/log/kern.log:Nov 15 10:16:23 debian kernel: [    0.000000] microcode: microcode updated early to revision xxxx, date = 2019-08-14

我确实发现有几个更新到英特尔微码,我有最新的更新 -

$ apt-cache policy intel-microcode
intel-microcode:
  Installed: 3.20191112.1
  Candidate: 3.20191112.1
  Version table:
 *** 3.20191112.1 900
        900 http://cdn-fastly.deb.debian.org/debian testing/non-free amd64 Packages
        100 http://cdn-fastly.deb.debian.org/debian unstable/non-free amd64 Packages
        100 /var/lib/dpkg/status

从内核日志中似乎有趣的是,修订版十六进制代码/版本与之前的版本相比发生了巨大变化。

答案1

/etc/default/intel-microcode作为配置文件进行管理,因此dpkg在升级过程中如有必要会进行提示。对其进行更改并保留它们是安全的;这就是整个conffile系统的设计目的。

但是,您的更改仅相当于取消注释默认设置,因此恢复到原始版本不会丢失任何内容,并且会避免升级过程中的任何提示。

至于修订版的升级,这取决于英特尔;在稳定更新(并解决他们应该解决的问题)之前,他们似乎必须对某些 CPU 进行多次内部修改。

相关内容