IT资讯 英特尔提议 Linux 添加驱动程序过滤功能

langston · 2021-08-05 09:00:06 · 热度: 87

邮件列表显示,英特尔工程师提议给 Linux 的驱动程序添加一个过滤器,以便能够设置允许或拒绝引导内核加载或无法加载的驱动程序列表。

英特尔提议 Linux 添加驱动程序过滤功能

该方案是英特尔工程师围绕 Linux 的信任域扩展 (TDX) 支持工作的一部分。TDX 是英特尔的一项新技术,增加了对虚拟机的支持,以便在不受信任的 VMM 面前保持机密性和完整性。由于 VMM 是一个不受信任的实体,并且为了减少来宾虚拟机中的攻击面,同时仍希望能够在主机和来宾之间使用相同的内核构建,英特尔工程师提议将此驱动程序过滤器支持添加到内核中。

该过滤器允许引导来宾时,通过内核命令行指定允许内核加载的特定驱动程序,或者设置不应允许系统加载的特定驱动程序列表。默认情况下,这不会更改内核的任何默认行为。过滤器将使用 filter_deny_drivers= 和 filter_allow_drivers= 选项指定允许哪些内核驱动程序,并且可以通过 sysfs 查询驱动程序过滤器状态:

cat /sys/bus/$bus/drivers/$driver/allowed

目前,关于该邮件的讨论仍在进行中。

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册