Linux內(nèi)核加入限制機(jī)制，保護(hù)AMD安全處理器

【ITBEAR科技資訊】3月20日消息，Linux內(nèi)核近日發(fā)布了一項(xiàng)限制機(jī)制，以保護(hù)AMD安全處理器免受潛在的惡意安全加密虛擬化(SEV)客戶機(jī)的攻擊。谷歌工程師Dionna Glaze表示，一個(gè)潛在的惡意SEV客戶端可以不斷地攻擊使用該驅(qū)動(dòng)程序的管理程序以發(fā)送請(qǐng)求，從而影響或很大程度上阻礙其他客戶端向安全處理器發(fā)出請(qǐng)求，畢竟這是一個(gè)共享的平臺(tái)資源。為此，AMD Linux工程師已經(jīng)同意了該機(jī)制，允許主機(jī)限制客戶端的這種請(qǐng)求。值得一提的是，這些AMD SEV補(bǔ)丁在Linux 6.3-rc3發(fā)布之前作為x86/緊急請(qǐng)求的一部分出現(xiàn)，因?yàn)榇a已經(jīng)準(zhǔn)備就緒，并且超出了通常的內(nèi)核合并窗口期。據(jù)ITBEAR科技資訊了解，這些AMD SEV補(bǔ)丁也被標(biāo)記為向后移植到穩(wěn)定內(nèi)核系列的候選補(bǔ)丁，以進(jìn)一步幫助AMD安全處理器抵御這類請(qǐng)求過載的惡意VM用戶。

另一方面，近期有用戶反映，啟用fTPM(基于固件的可信平臺(tái)模塊)后，銳龍?zhí)幚砥髟谑褂肳in10、Win11和各種Linux發(fā)行版時(shí)出現(xiàn)間歇性卡頓問題。針對(duì)這一問題，Linux內(nèi)核維護(hù)成員已經(jīng)將Linux 6.3-rc2中的修復(fù)補(bǔ)丁反向移植到Linux 6.1.19和Linux 6.2.6上以修復(fù)這一問題。然而，這一補(bǔ)丁僅在已知存在該錯(cuò)誤的fTPM版本上禁用硬件隨機(jī)數(shù)生成器，尚未完全根治這個(gè)卡頓問題。因此，建議用戶盡早更新到最新版本中以避免出現(xiàn)類似問題。

總之，為了保障計(jì)算機(jī)系統(tǒng)的安全性，不僅需要硬件安全，還需要軟件安全。對(duì)于Linux內(nèi)核而言，通過限制機(jī)制和修復(fù)補(bǔ)丁等手段，可以有效提高系統(tǒng)的安全性，防范惡意攻擊。據(jù)ITBEAR科技資訊了解，Linux內(nèi)核開發(fā)人員將繼續(xù)努力，為用戶提供更加安全、可靠的系統(tǒng)。