Microcode (简体中文)

本文或本节需要翻译。要贡献翻译，请访问简体中文翻译团队。

附注： Partial translation, last update in 2020（在 Talk:Microcode (简体中文)# 中讨论）

翻译状态：本文是 Microcode 的翻译。上次翻译日期：2020-05-19。如果英文版本有所更改，则您可以帮助同步翻译。

处理器制造商发布对处理器微码的稳定性和安全性更新。这些更新提供了对系统稳定性至关重要的错误修复。如果没有这些更新，您可能会遇到不明原因的崩溃或难以跟踪的意外停机。

使用 AMD 或 Intel CPU 的用户都应该安装这些微代码更新，以确保系统稳定性。

通常主板的固件会包含微代码更新，并在初始化时使用最新的微代码版本。但是 OEM 可能无法给所有机型提供及时的最新固件，所以 Linux 内核提供了启动时应用最新微代码的功能。Linux microcode 加载器支持三种加载方式：

早期加载 在非常早的启动阶段生效，比 initramfs 阶段还早，所以是推荐的方式，如果 CPU 有严重的硬件问题时尤其如此，比如 Intel Haswell 和 Broadwell 处理器。

后期加载 在启动后生效，有时这个时间太晚了，因为 CPU 可能已经执行了有问题的指令集。即使已经启用了早加载，晚加载依然有价值，可以让系统不重启的时候也应用到最新的微代码更新。

内置微代码 可以编译到内核中，在启动的早期阶段应用。.

启用早期微码更新

由于用户的早期引导配置具有很大的可变性，因此Arch的默认配置不会自动启用早加载。AUR 里很多内核都遵循这个设定。

要启用早加载，必须通过把 /boot/amd-ucode.img 或者 /boot/intel-ucode.img 作为第一个 initrd 添加到 bootloader 的配置文件里来启用。下面的章节有常见的 bootloader 的配置。

注意： 把 cpu_manufacturer 换成 CPU 的制造商，即 amd 或者 intel。

提示： 对于安装在可移动设备的 Arch Linux，两个厂商的微码文件都要加到配置文件里，顺序没有关系。

安装

对于 AMD 处理器，安装 amd-ucode。

对于 Intel 处理器，安装 intel-ucode。

如果你在一个移动介质上安装Arch Linux，需要应该安装以上两个厂商处理器的微码软件包。

在自定义内核中启用微代码加载

启用 “CPU microcode loading support” 才能在启动早期加载微代码，必须编译到内核中，而不是编译为模块。然后将 “Early load microcode” 设置为 “Y”。

CONFIG_BLK_DEV_INITRD=Y
CONFIG_MICROCODE=y
CONFIG_MICROCODE_INTEL=y
CONFIG_MICROCODE_AMD=y

Grub

grub-mkconfig 会自动发现微码更新并更新 GRUB 配置信息。安装微码软件包后，重新生成GRUB 配置以激活更新：

# grub-mkconfig -o /boot/grub/grub.cfg

注意： grub-mkconfig does not add the microcode images to the fallback initramfs boot entry. See FS#60999.

或者，手动管理GRUB配置文件，用户可以添加/boot/cpu_manufacturer-ucode.img (或者 /cpu_manufacturer-ucode.img ，当 /boot 是一个独立分区的情况) 如下:

/boot/grub/grub.cfg

...
echo 'Loading initial ramdisk'
initrd	/boot/cpu_manufacturer-ucode.img /boot/initramfs-linux.img
...

为每个入口菜单执行以上操作。

systemd-boot

/boot/loader/entries/entry.conf

 title   Arch Linux
 linux   /vmlinuz-linux
 initrd  /cpu_manufacturer-ucode.img
 initrd  /initramfs-linux.img
 options ...

最新的 cpu_manufacturer-ucode.img 必须在启动时存在于 ESP分区. ESP 必须挂载到 /boot，这样才能在 amd-ucode 或 intel-ucode 更新时才能更新里面的 img 文件。否则需要在微代码更新时手动将 /boot/cpu_manufacturer-ucode.img 复制到 ESP。

Unified kernel images

See Unified kernel image#Manually.

EFISTUB

Append two initrd= options:

initrd=\cpu_manufacturer-ucode.img initrd=\initramfs-linux.img

rEFInd

Edit boot options in /boot/refind_linux.conf and add initrd=boot\cpu_manufacturer-ucode.img (or initrd=cpu_manufacturer-ucode.img if /boot is a separate partition) as the first initramfs. For example:

"Boot using default options"     "root=PARTUUID=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX rw add_efi_memmap initrd=boot\cpu_manufacturer-ucode.img initrd=boot\initramfs-%v.img"

提示： Users who previously did not specify an initrd kernel parameter will need to follow the steps described in rEFInd#Configuration to enable passing of multiple initrd parameters.

如果在 esp/EFI/refind/refind.conf 中使用手动配置定义所要引导的内核，那么添加 initrd=/boot/cpu_manufacturer-ucode.img （如果 /boot 独立分区则添加initrd=/cpu_manufacturer-ucode.img）到选项行。并不需要修改配置的主干部分。

 options  "root=PARTUUID=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX rw add_efi_memmap initrd=boot\cpu_manufacturer-ucode.img"

Syslinux

注意： 在 cpu_manufacturer-ucode.img 和 initramfs-linux initrd 文件间不要用空格，下面的点不是省略号，INITRD 行必须和下面示例中一样。

在配置文件/boot/syslinux/syslinux.cfg中，多个 initrd 可以通过逗号来分隔。

LABEL arch
    MENU LABEL Arch Linux
    LINUX ../vmlinuz-linux
    INITRD ../cpu_manufacturer-ucode.img,../initramfs-linux.img
    APPEND ...

LILO

LILO和其他的老版本启动引导器可能不支持多个initrd镜像，所以intel-ucode 和 initramfs-linux 需要被合并成一个镜像。

警告： 每次更新内核后都要重新合并！

注意： 顺序很重要。原来的 initramfs-linux 必须在 intel-ucode之后。

合并两个镜像并生成 initramfs-merged.img：

# cat /boot/intel-ucode.img /boot/initramfs-linux.img > /boot/initramfs-merged.img

现在编辑 /etc/lilo.conf 装载新的镜像：

...
initrd=/boot/initramfs-merged.img
...

以root运行lilo：

# lilo

后期加载

微码更新的后期加载，是指在系统启动之后的加载。它使用了 /usr/lib/firmware/amd-ucode/ 和 /usr/lib/firmware/intel-ucode/ 文件夹里的文件。

对于 AMD 处理器来说，微码更新的文件由 linux-firmware 软件包提供。

对于 Intel 的处理器，没有任何软件包提供微码更新文件 (FS#59841)。要使用后期加载，你可能需要从英特尔提供的压缩包里手动解压出 intel-ucode/ 文件夹。

启用微码更新后期加载

后期加载是默认启用的，由 /usr/lib/tmpfiles.d/linux-firmware.conf 实现。在启动过程完成之后，微码更新文件由 systemd-tmpfiles-setup.service(8) 解析，实现 CPU 微码更新。

如果要手动触发微码更新：

# echo 1 > /sys/devices/system/cpu/microcode/reload

更新了 linux-firmware 之后想不重启就应用微码更新，这个命令比较有用。要自动化这个过程，可以创建一个 pacman hook：

/etc/pacman.d/hooks/microcode_reload.hook

[Trigger]
Operation = Upgrade
Type = Path
Target = usr/lib/firmware/amd-ucode/*

[Action]
Description = Applying CPU microcode updates...
When = PostTransaction
Depends = sh
Exec = /bin/sh -c 'echo 1 > /sys/devices/system/cpu/microcode/reload'

禁用微码更新的后期加载

对于 AMD 的处理器来说，即使不安装 amd-ucode，CPU 的微码仍然会被更新，因为所需的文件是由 linux-firmware 提供的(FS#59840)。

虚拟机和容器 (FS#46591) 不支持 CPU 微代码更新，所以需要禁用此功能。需要覆盖 /usr/lib/tmpfiles.d/linux-firmware.conf 这个 tmpfile，通过在 /etc/tmpfiles.d/ 创建一个名字也是 linux-firmware.conf 的文件来实现。当然也可以这样来实现覆盖的效果：

# ln -s /dev/null /etc/tmpfiles.d/linux-firmware.conf

验证微指令已在启动时更新

使用 /usr/bin/dmesg 可以查看微代码有没有更新：

# dmesg | grep microcode

在 Intel 系统上，你应当会看到和下面类似的一些东西，表明微指令已在早先更新：

[    0.000000] CPU0 microcode updated early to revision 0x1b, date = 2014-05-29
[    0.221951] CPU1 microcode updated early to revision 0x1b, date = 2014-05-29
[    0.242064] CPU2 microcode updated early to revision 0x1b, date = 2014-05-29
[    0.262349] CPU3 microcode updated early to revision 0x1b, date = 2014-05-29
[    0.507267] microcode: CPU0 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507272] microcode: CPU1 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507276] microcode: CPU2 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507281] microcode: CPU3 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507286] microcode: CPU4 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507292] microcode: CPU5 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507296] microcode: CPU6 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507300] microcode: CPU7 sig=0x306a9, pf=0x2, revision=0x1b
[    0.507335] microcode: Microcode Update Driver: v2.00 <[email protected]>, Peter Oruba

如果硬件比较新，也可能没有任何微代码更新，结果应该是下面这样：

[    0.292893] microcode: CPU0 sig=0x306c3, pf=0x2, revision=0x1c
[    0.292899] microcode: CPU1 sig=0x306c3, pf=0x2, revision=0x1c
[    0.292906] microcode: CPU2 sig=0x306c3, pf=0x2, revision=0x1c
[    0.292912] microcode: CPU3 sig=0x306c3, pf=0x2, revision=0x1c
[    0.292956] microcode: Microcode Update Driver: v2.00 <[email protected]>, Peter Oruba

在 AMD 系统上，微指令会在启动的更晚阶段被更新，所以输出会看起来像这样：

[    0.807879] microcode: CPU0: patch_level=0x01000098
[    0.807888] microcode: CPU1: patch_level=0x01000098
[    0.807983] microcode: Microcode Update Driver: v2.00 <[email protected]>, Peter Oruba
[   16.150642] microcode: CPU0: new patch_level=0x010000c7
[   16.150682] microcode: CPU1: new patch_level=0x010000c7

注意： 微代码的日期和 intel-ucode 软件包版本不一定一样，而是代表英特尔最后一次更新微代码的时间。

哪些 CPU 可以接受微指令更新

可以从 Intel 和 AMD 的网站查看支持的型号：

AMD 操作系统研发中心.
Intel 下载中心^{[失效链接 2020-08-04 ⓘ]}.

检查可用微指令更新

可以通过 iucode-tool 来检查 intel-ucode.img 是否包含适用于你 CPU 的微指令映像。

安装 intel-ucode （检测并不需要修改 initrd）
从 AUR 安装 iucode-tool
加载 cpuid 内核模块:
```
# modprobe cpuid
```
解包微指令映像，并根据你的 cpuid 搜索是否适用：
```
# bsdtar -Oxf /boot/intel-ucode.img | iucode_tool -tb -lS - 
```
如果有更新可用，它应该会在 selected microcodes 之下显示
微码可能已经在你的BIOS里，所以不会在dmesg里出现。和正在运行的微码对比：grep microcode /proc/cpuinfo

参阅