@shy666 先谢谢了。因为业务的需要、安全方面的考虑以及存取资料的便捷性考虑，我的设备一般都是开 ZeroTier 连到国内家里的服务器再使用各项服务的，以前用 Stripe 和美股账户也是因为海外异地登录被限制使用过，为了避免不必要的麻烦都默认开启了 ZeroTier。

不过还是希望微博能够改进一下业务流程，昨天好像 web 端密码找回时发送短信验证码仍然提示繁忙。Anyway，Thank you very much。

已经被冻结几次了，海外手机无法收验证码，点击获取手机验证码的时候弹出“抱歉，系统繁忙。” 话说渣浪都不考核 KPI 的么？

转自 wiki，中文翻译是人话版，大家凑合看。

Kernel page-table isolation
From Wikipedia, the free encyclopedia

Kernel page-table isolation (KPTI, previously called KAISER) is a hardening technique in the Linux kernel to improve security by better isolating user space and kernel space memory.[1][2] KPTI was merged into Linux kernel version 4.15,[3][4] to be released in early 2018, and backported into Linux Kernel 4.14.10. Windows implemented an identical feature in version 17035 (RS4)[5].

内核分页表隔离(KPTI，以前叫做 KAISER)是 Linux 内核中的一项加固技术，将用户空间(User Space)和内核空间(Kernel Space)的内存进行更好的隔离以增强安全。

Background[edit]
Prior to KPTI, whenever executing user space code (applications), Linux would also keep its entire kernel memory mapped in page tables, although protected from access. The advantage is that when the application makes a system call into the kernel or an interrupt is received, kernel page tables are always present, so most context switching-related overheads (TLB flush, page table swapping, etc) can be avoided.[1]

In 2005, the Linux kernel adopted address space layout randomization (KASLR), which makes it more difficult to exploit kernel vulnerabilities,[6][7] which relies on kernel addresses remaining hidden from user space. Despite prohibiting access to these kernel mappings, it turns out there are several side-channel attacks in current Intel x86 processors (as of December 2017) that can leak the location of this memory, making it possible to work around KASLR.[2][8][9][10] AMD processors are not affected by these attacks and don't need KPTI to mitigate them.[11]

背景
在 KPTI 引入之前，每次执行用户空间代码（应用）时，Linux 虽然（对内核存储区域（ Kernel Memory ））进行了访问保护，但还是会继续将整个内核存储区域（ Kernel Memory ）映射在分页表（ page table ）中。这样做的好处是，应用程序（ Application ）在请求内核系统调用（ make a system call ）或者触发一个中断（ interrupt ）时，内核的分页表一直处于可用状态，这样绝大多数上下文切换相关的开销（ TLB Flush，page table swapping，等）可以避免。

在 2005 年，Linux 内核引入了地址空间随机排布技术（ KASLR ），让内核地址对用户空间不可见，从而增加了发现内核漏洞的难度。虽然（已经）禁止了对这些内核映射的访问，但最后发现在现有的 Intel X86 处理器（到 2017 年 12 月为止）上可能会泄漏这些内存的位置，有一些旁路攻击（ side-channel attacks ）可以绕过 KASLR （这里是指通过 Kernel Page Table 里面的映射关系，能获取到 Kernel 内存区域的地址）。AMD 的处理器则不会受到这些攻击的影响因此无需使用 KPTI 进行改善。

Implementation[edit]
KPTI fixes these leaks by separating user space and kernel space page tables entirely. On recent x86 processors, a TLB flush can be avoided using the process context identifiers (PCID) feature, but even then it comes at a significant performance cost particularly in syscall-heavy and interrupt-heavy workloads. The overhead[clarification needed] was measured to be 0.28% according to KAISER's original authors,[2] but roughly 5% for most workloads by a Linux developer.[1]

KPTI can be disabled with the "nopti" kernel boot option. Also provisions were created to disable KPTI if newer processors fix the information leaks.[3]

实现
KPTI 通过对用户空间和内核空间的分页表进行完全隔离来修复这项漏洞。在最新的 X86 处理器中，使用 PCID （进程上下文标识符）来避免产生 TLB flush，即使这样，仍然会带来显著降低性能，特别是频繁使用系统调用和频繁使用中断的应用程序。由此带来的开销根据 KAISER 的原作者测量约 0.28%；一位 Linux 开发人员的测量结果是大多数工况下有 5%。

KPTI 可以通过 nopti 内核启动选项进行关闭。此外也做了未来如果新的处理器修复了此项漏洞，对 KPTI 进行关闭的准备。

--------------------------------------------------------

个人理解，问题可能是出在 Intel 处理器的 MMU 上，page table 的映射以及 address translation 是通过硬件实现的，可能是这一块出了问题，不得不用软件进行一些预处理。

@jasontse 谢谢，刚看到 vs 2017 安装还要在线下载了，不提供完整 iso 了，也是厉害了。微软真是各种跑偏了。

@Shazoo 嵌入式准备还是用这个老 xp 系统伺候了，Keil 系列好说，其实大厂的都好说，但是客户不好说啊。有的客户用不起新的东西，老的东西也能用，还得给他用老的。比如风河的 Workbench 很好用，但是老用户不想花钱升级，还在跑 Tornado，你不跟他们一样出了问题，撕起来还是要给他还原成 xp 系统，从头给他来一遍让他心服口服的。再说老外信奉 if it is not broken, dont fix it.

嵌入式不可能像桌面系统这样频繁更新的，一般都是几十年的生命周期，所以有一条“抽屉原则”是普遍遵循的，产品某个交付版本对应的 build 环境（硬件+软件）要封存至少一套，生命周期内，任何时候该版本出了问题，直接将这一套系统从“抽屉”里面取出来重新 build 还原，然后开始 root cause analysis。我现在还见过有全新的 Pentium MMX 处理器的主机在仓库里吃灰呢。

@XiaoFaye 这我知道啊。。 我的意思是我想把银行全家桶放在虚拟机里面收拾啊，但是做不到啊，一堆插件一堆 UKey 什么的，虚拟机伺候不了。

我的做法是单独装一个系统伺候银行全家桶，银行的东西平时基本不用，但是需要的时候肯定要立刻能用。这些插件和 Ukey 驱动什么的不仅占空间，还占 CPU 资源（邮储的 UKey 固定占 12%-20%的 CPU 占用率，也是蛮厉害）

@XiaoFaye 虚拟机里面装 Win 10，然后配合 IE11，可以应付银行全家桶？

@zlfzy
强迫症还是想把系统和数据分离，所以要分 C 盘，D 盘，系统挂了 /用了不爽了，重装的时候不至于太费劲（还要把数据拷贝出来才能格式化系统什么的）。其次是想尽可能合理利用磁盘空间，其实操作系统本身相当于是你电脑的一个管家，无奈这个管家越来越膨胀了，能做的事情却没有变多，还是不是琢磨着卖点主人的信息。

最后其实这个帖子的正确标题可能应该是“各位使用 Windows 系统的 V2er 一般系统分区占多大？”

@bramblex 很多工业的触控设备用 Win CE，Linux 下面对应的解决方案也只有 Qt 好一点，但 Qt 的开发人力成本还是比较高的，Android 做触控又重响应有时候又不好，即使这样还是挡不住现在触控设备往 Android 转的趋势了。

@XiaoFaye 你是说 USB 么？我用过的招商银行的 UKey 不支持重定向，VMWare 的硬件接口这一块还是很厉害的，好象是把 USB 直接挂载到虚拟机上面去了，主机的 xp 系统能看到卸载 USB 设备提醒，虚拟机里的系统能看到发现新的设备。然而这样也无法让招商银行的网银将 UKey 识别出来。最奇葩的据说是民生的 UKey，据说是插上去直接蓝屏。。。

@bramblex
我本身也是 Debian 的重度用户啊，不过微软的东西确实用起来很爽啊，Office 全家桶什么的用熟了效率很高的（我指的是节省时间，不是软件本身的效率），还有你能用 Linux 维护 Windows CE 的设备？

@loading
win 98j 是什么鬼呢？我要是说 win 95 OSR2 估计更暴露年龄吧。

@TangCuYu2333
不是兼容性的问题，是实在受不了 win8 和 win10 的大色块，MetroUI 是一个巨大的错误，然而微软好像还要在这个巨大的错误上再犯另外一个错误（ Fluent Design ）。

@honeycomb
给我你的 QQ/WeChat/tg 啊，指导指导我啊，真心想认识你的呢～

感觉即使 Debian 自称宇宙第一操作系统也没什么毛病。。。http://ww4.sinaimg.cn/bmiddle/62e721e4gw1et02g5wksrj200k00k3y9.jpg

@ivmm

xp 要直接操作串口等硬件的呀。。。 虚拟机能行早就虚拟机了，事实证明虚拟机连 USB 都可能存在问题，我本来是用虚拟机对付银行全家桶的，结果各家银行的 USB Key 对虚拟机基本上没几个好用的，也有可能是做 USB Key 的厂商技术太厉害了。

@Athrob
不明白为什么现在的系统都是一个比一个大，用户真正需要那么多乱七八糟的东西么？要不是 Linux 对电池支持的不好，我早就想换 Linux 做主力 os 了。

@whello
我还拷贝 Hosts 文件，IPSec 策略，即使是这样，你不觉得每次把这些软件都安装一遍也是很费事的么？ VS，Android Studio，Office 各个都不是省油的灯，装起来即使是一直下一步下一步也要花不少时间，更不谈吃起磁盘空间来一个比一个狠。

@autoxbc
@TangCuYu2333
@XiaoFaye
其实我感觉我需要的不是 Win10，我需要的是一个支持最新硬件和软件的 xp，Win 7 我都觉得有些地方很不爽，比如在 xp 里面可以轻松修改 ip 地址，在 win 7 下就得多点几下，找起来很费劲。

@yan5990853 不太喜欢 win 10，风格改变太剧烈了，个人倾向 win 7，即使是 win 10 肯定也是 LTSB 版，习惯了不折腾。折腾的成本太高，主要是时间成本太高。

电脑是 T420，最后一代经典的 7 行键盘，圆口的电源，带标准 Display Port，目前不想换电脑，因为显示器是标准 DP 接口，家里、办公室、背包里各备有一个老版的圆口电源，因此还想再战几年。

随机自带的是 120G 的镁光 SSD，装了 xp ；新买了一个 SanDisk 的 480G 的 Extrem 10 年保的 SSD，都是特意选的 MLC 版本的。准备把 win 7 装到 480G 上去。

SSD 好像不方便直接 Ghost 镜像了，存在 4k 不对齐的问题。

@shy666 这个是 BASE64 啊，解码一下就可以了呢，昵称同 id

你家微博天天冻结这个 帐号，哪个不能用，先把你家产品好好捋一捋吧，又找新人来填坑么？