规格硬件
1 基本
对齐基本的硬件规格
2 CPU拓扑
1、注意是否跨socket
2、注意是否在同物理核上
cat /sys/devices/system/cpu/cpu77/topology/thread_siblings cat /sys/devices/system/cpu/cpu0/topology/thread_siblings cat /sys/devices/system/cpu/cpu1/topology/thread_siblings 结果一样就是同物理核
按上述讨论,应该分几种场景分别讨论:
- 同核
- 同物理核
- 同socket不同物理核
- 跨socket
OS层面
1 主动安全组件
云商场的工具,例如安骑士、云助手等
2 系统自带审计
代码语言:javascript复制关闭audit
# 关用户空间
systemctl disable auditd
service auditd stop
# 关OS空间
auditctl -e0
reboot
auditctl -s
enabled 0
failure 1
pid 0
rate_limit 0
backlog_limit 64
lost 0
backlog 0
loginuid_immutable 0 unlocked
关闭journald
systemctl status systemd-journald
systemctl stop systemd-journald
systemctl stop systemd-journald.socket
关闭rsyslog
/usr/sbin/rsyslogd -n3 机器电源策略
首先对齐电源策略:
cpupower monitor 查看每个核的Freq
然后看idle模式:
vi /etc/default/grub
/boot/grub2/grub.cfg
idle=halt / mwait ? 或者别的?
4 安全配置!
对齐安全配置打开关闭情况
grub里可配noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off tsx_async_abort=off
mitigations=off 是总开关
tsx_async_abort=off 对调度性能影响很大
