производительность hardened профайла

0

0

Система, собранная с hardened профайлом (gcc-3.4.6) всегда получается на 30-40% медленнее системы, собранной с дефолтным профайлом (gcc-4.1.2). Проверял обычным gzip.

У одного меня так?
Я ожидал тормозов, но никак не 40%.

Ссылка

←	SyncMl сервер для линукс.

dnsmasq: имена DHCP-клиентов

→

>Проверял обычным gzip.

Уу... для тебя gzip - вся система? Это раз. Разницу в major-версии gcc замечаешь? Это два.

Дебиановцы как-то тестили, там 1-10%, в зависимости от программы.

JackYF ★★★★
(05.07.08 19:51:02 MSD)

> Система, собранная с hardened профайлом (gcc-3.4.6) всегда получается на 30-40% медленнее системы, собранной с дефолтным профайлом (gcc-4.1.2). Проверял обычным gzip.

Что значит hardened профайл? Это может быть и selinux и grsecurity и конфиг ядра может быть разный и кол-во и типа правил в selinux итп. Это некорректное сравнение. У меня прям 40 % с grsecurity точно не было.

true_admin ★★★★★
(05.07.08 21:24:25 MSD)

Ответ на: комментарий от true_admin 05.07.08 21:24:25 MSD

> Что значит hardened профайл?

Это значит с третьего hardened стэйджа собиралась система. gcc с включёнными stack-protector и stack-protector-all. С итоговым emerge world.

> Это может быть и selinux и grsecurity и конфиг ядра может быть разный и кол-во и типа правил в selinux итп.

SELinux - нет.
grsecurity - да, но! Пробовал в hardened системе загрузиться с обычного (без grsecurity-патчей) ядра (в данном случае, были xen-sources) - то же самое. Ядро не при чём.
До настройки всевозможных правил RSBAC и gradm тоже ещё не добрался.

> Это некорректное сравнение. У меня прям 40 % с grsecurity точно не было.

Ну так а сколько было?

anonymous
(05.07.08 22:58:39 MSD)

Ответ на: комментарий от JackYF 05.07.08 19:51:02 MSD

> для тебя gzip - вся система? Это раз.

Согласен, виноват.

> Разницу в major-версии gcc замечаешь? Это два.

Надо просто поверить в прорыв в оптимизаторе gcc-4? :)

> Дебиановцы как-то тестили, там 1-10%, в зависимости от программы.

Спасибо. Хорошо, если так.

anonymous
(05.07.08 23:01:46 MSD)

Ссылка

Ответ на: комментарий от anonymous 05.07.08 22:58:39 MSD

> Ну так а сколько было?

Вот такая сборка живёт у меня года три, производительность сколько-нибудь заметно не просаживает: Gentoo 3.4.6-r1, ssp-3.4.5-1.0, pie-8.7.9. В инете можно посмотреть сколько какая фича на типичных задачах оверхедит. ssp, например, до 14% в самых тяжёлых случаях(по данным производителя :)), но обычно сильно меньше.

Какой оверхед делает pax они пишут у себя на хоумпейдже: http://www.pjvenda.org/linux/doc/pax-performance/

pie, вроде, тоже немного добавляет(где читал не помню).

Вот тут чел говорит что всё тип-топ(верить или нет не знаю, но похоже на правду): http://archive.cert.uni-stuttgart.de/suse-security/2004/07/msg00082.html

Как ты добился -40% не знаю, может, CFLAGS или LDFLAGS кривые?

Разумеется, всегда найдётся задача которая сильно пострадает от ssp/pie/pax :). Но в среднем по больнице всё спокойно.

true_admin ★★★★★
(06.07.08 00:12:33 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SyncMl сервер для линукс.

Admin

dnsmasq: имена DHCP-клиентов

→

Похожие темы