Linux 6.3-rc3 強(qiáng)化安全機(jī)制,保護(hù) AMD 處理器免受 SEV 侵害
3 月 20 日消息,在 Linux 6.3-rc3 正式到來(lái)之前,該版本于周日發(fā)布了一個(gè)更改,添加了一項(xiàng)限制機(jī)制,以保護(hù)虛擬機(jī)管理程序免受潛在的惡意安全加密虛擬化 (SEV) 客戶(hù)機(jī)的攻擊,旨在保護(hù) AMD 安全處理器免受惡意 VM 的請(qǐng)求而過(guò)載。
谷歌工程師 Dionna Glaze 一直致力于為 AMD SEV 客戶(hù)機(jī)提供“throttling awareness”支持,這個(gè) Linux 內(nèi)核代碼目前已經(jīng)得到了 AMD Linux 工程師的同意。Dionna Glaze 解釋道:
一個(gè)潛在的惡意 SEV 客戶(hù)端可以不斷地攻擊使用該驅(qū)動(dòng)程序的管理程序以發(fā)送請(qǐng)求,從而影響或很大程度上阻礙其他客戶(hù)端向安全處理器發(fā)出請(qǐng)求,畢竟這是一個(gè)共享的平臺(tái)資源。
因此,我們?cè)试S并鼓勵(lì)主機(jī)限制客戶(hù)端的這種請(qǐng)求。
考慮到此更改的安全性,這些 AMD SEV 補(bǔ)丁在 Linux 6.3-rc3 發(fā)布之前作為 x86 / 緊急請(qǐng)求的一部分出現(xiàn),因?yàn)榇a已經(jīng)準(zhǔn)備就緒,并且超出了通常的內(nèi)核合并窗口期。
當(dāng)然,這些 AMD SEV 補(bǔ)丁也被標(biāo)記為向后移植到穩(wěn)定內(nèi)核系列的候選補(bǔ)丁,以進(jìn)一步幫助 AMD 安全處理器抵御這類(lèi)請(qǐng)求過(guò)載的惡意 VM 用戶(hù)。
值得一提的是,前段時(shí)間還有人發(fā)現(xiàn)銳龍?zhí)幚砥髟趩⒂?fTPM(基于固件的可信平臺(tái)模塊)之后,會(huì)導(dǎo)致 ??Win10???、??Win11?? 和各種 Linux 發(fā)行版出現(xiàn)間歇性卡頓問(wèn)題,目前 Linux 內(nèi)核維護(hù)成員已經(jīng)將 Linux 6.3-rc2 中的修復(fù)補(bǔ)丁反向移植到 Linux 6.1.19 和 Linux 6.2.6 上以修復(fù)這一問(wèn)題。
不過(guò)這一補(bǔ)丁只是在已知存在該錯(cuò)誤的 fTPM 版本上禁用硬件隨機(jī)數(shù)生成器,尚未完全根治這個(gè)卡頓問(wèn)題,因此IT之家還是建議大家早點(diǎn)更新到最新版本中。