我是否应该在/etc/默认/英特尔-微码和修改编号中保留修改？

Question

我有一台四核情报机，有i5-7400 CPU @ 3.00GHz。

最近，英特尔为受幽灵漏洞影响的机器推出了一批新的更新。

您可以在Debian 粘贴上看到最新更新的C0。我刚刚分享了最新的更新。

现在当我运行以下命令时-

$ sudo iucode_tool -tb -lS /lib/firmware/intel-ucode/*

我得到了所有捆绑包的列表，并能够通过检查pf_mask十六进制代码、日期、修订编号和文件大小(以字节为单位)来确认固件已经更新。

我的问题或问题是:是否应该将修改保留在/etc/default/microcode中，或者在/etc/default/microcode中重新注释？

$ cat /etc/default/intel-microcode
# Configuration script for intel-microcode version 3

#
# initramfs helper
#

# Set this to "no" to disable automatic microcode updates on boot;
# Set this to "auto" to use early initramfs mode automatically (default);
# Set this to "early" to always attempt to create an early initramfs;
IUCODE_TOOL_INITRAMFS=auto

# Set this to "yes" (default) to use "iucode_tool --scan-system" to reduce
# the initramfs size bloat, by detecting which Intel processors are active
# in this system, and installing only their microcodes.
#
# Set this to "no" to either include all microcodes, or only the microcodes
# selected through the use of IUCODE_TOOL_EXTRA_OPTIONS below.
#
# WARNING: including all microcodes will increase initramfs size greatly.
# This can cause boot issues if the initramfs is already large.
IUCODE_TOOL_SCANCPUS=yes

# Extra options to pass to iucode_tool, useful to forbid or to
# force the inclusion of microcode for specific processor signatures.
# See iucode_tool(8) for details.
#IUCODE_TOOL_EXTRA_OPTIONS=""

期待着知道什么是最好的方法。我也向wiki 页面咨询了同样的信息，它似乎有一些有趣的细节-

$ zgrep "microcode updated early to" /var/log/kern.log*
/var/log/kern.log:Nov 14 02:59:32 debian kernel: [    0.000000] microcode: microcode updated early to revision xxxx, date = 2019-04-01
/var/log/kern.log:Nov 15 10:16:23 debian kernel: [    0.000000] microcode: microcode updated early to revision xxxx, date = 2019-08-14

我确实发现英特尔微码有几个更新，我有最新的更新-

$ apt-cache policy intel-microcode
intel-microcode:
  Installed: 3.20191112.1
  Candidate: 3.20191112.1
  Version table:
 *** 3.20191112.1 900
        900 http://cdn-fastly.deb.debian.org/debian testing/non-free amd64 Packages
        100 http://cdn-fastly.deb.debian.org/debian unstable/non-free amd64 Packages
        100 /var/lib/dpkg/status

内核日志中有趣的是，修订的十六进制代码/版本与以前的版本相比发生了巨大的变化。

Answer 1

/etc/default/intel-microcode被管理为conffile，因此在升级期间，dpkg将在必要时提示。对其进行更改并保留它们是安全的；这就是整个conffile系统设计的目的。

然而，您的更改只相当于取消注释默认设置，因此您将不会丢失任何恢复到原始版本，它将避免任何提示在升级期间。

关于修改的颠簸，这取决于英特尔(Intel)；似乎他们必须对一些CPU进行一些内部修订，然后才能稳定更新(并修复本应修复的问题)。