SVP, pardonnez-moi si la question est vague ou mal formulée
car j'aborde un nouveau continent ...
Contexte > VPS
Je poursuis mon éducation : Serveur HTTP/SMPT/FTP/...
Pour cela, je mets en application les recommandations de sécurité préconisées dans : OpenClassRooms | Audit Sécurité d'un Système Linux
Parmis lesquelles :
iommu=force passé comme Paramètre de démarrage du noyau
à placer dans le fichier : /etc/default/grub
comme argument de la directive :
Code : Tout sélectionner
GRUB_CMDLINE_LINUX_DEFAULT="... iommu=force"
qui dresse la liste des paramètres de commande du noyau et des valeurs qu'ils admettent.
Pour ce qui est de IOMMU j'en ai compris que son activation forcée protège des accès incontrôlés en mémoire par les périphériques (potentielles sources de vulnérabilité (les périphériques))
...ça commence à pas être trop clair pour moi : comment savoir si un périphérique est vulnérable ???
Donc en aveugle => On bloque tous les accès ?
Mais cherchant à en savoir plus,
je trouve : x86, iommu/vt-d: Add an option to disable Intel IOMMU force on
qui commence par :
qu'on peut traduire par :IOMMU harms performance signficantly when we run very fast networking
workloads...
"IOMMU nuit considérablement aux performances des applications réseaux très rapides"
Vu qu'en général, quand il s'agit de réseau on recherche la meilleure vitesse,
j'aurais tendance à généraliser la potentielle nuisance de cette option.
Questions
1. Votre avis sur l'opportunité de cette option pour un serveur web.
2. Comment évaluer concrètement l'impact de cette mesure ? Par quel test ?
Merci.
