Linuxeden开源社区朝向 Linux 7.0 内核发展,并计划回退到当前稳定版本的 Linux 内核中,是采用 AMD Zen 5 处理器上的一项新 SEV-SNP 安全功能,用于增强虚拟机安全性。
一个补丁正在提交到主线 Linux 内核,以允许 AMD SEV-SNP 虚拟机使用 IBPB-on-Entry 功能。IBPB-on-Entry 功能由 AMD EPYC Zen 5 处理器支持。只需几行代码即可启用此功能用于 Linux SEV-SNP,但似乎直到现在才注意到未利用这一硬件能力。
IBPB-on-Entry 通过在进入虚拟机时强制执行间接分支预测屏障 (IBPB) 来提供更高的安全性,以帮助防止推测执行攻击。
启用补丁的解释:
SEV-SNP IBPB-On-Entry 功能不需要客户端实现。它是在 Zen5 硬件中添加的,在第一个 SNP Zen 实现之后,因此在最初将 SNP 功能添加到内核时没有被考虑。
出于充分的预防措施,提交
8c29f0165405 (“x86/sev: 添加 SEV-SNP 客户端功能协商支持”)
将 SEV_STATUS 的 IBPB-On-Entry 位作为保留位,从而屏蔽了客户端使用该功能。
允许客机在虚拟机管理程序支持的情况下使用 IBPB-On-Entry 功能,因为该位现在在架构上已定义,并且可以安全地公开。”
该补丁位于 tip/tip.git 的 “x86/urgent” 分支。由于属于 TIP 的“紧急”分支,它很可能会被提交到当前的 Linux 7.0 内核版本周期中,而无需等到 Linux v7.1 的合并窗口。该补丁还被标记为需要向后移植到稳定版内核系列。由于代码改动仅几行,且为 SEV-SNP 虚拟机启用了重要的安全功能,因此是一个适合进行向后移植的安全候选补丁,尽管遗憾的是,这一 Zen 5 硬件安全功能直到现在才被启用。
转自 Linux Preps IBPB-On-Entry Feature For AMD SEV-SNP Guest VMs – Phoronix