攻击向量控制(Attack Vector Controls)功能现已集成到Linux 6.17中,AMD工程师David Kaplan开发了新的调优旋钮,使Linux服务器管理员和高级用户能够更轻松地选择与其系统和预期工作负载相关的CPU安全缓解措施。
~R~MC(5N�[ :Oi}�X7\�� x86/bugs合并请求已于本周提交,随之而来的是将Retbleed代码与英特尔CPU上的ITS Training Solo缓解措施分离开来,以便能够独立于Retbleed缓解措施启用ITS填充。推测返回堆栈溢出(SRSO)缓解措施的代码也得到了简化。最值得注意的是,其余的攻击向量控制代码也已合并。
X-cP��'��" 
%H�=^U�8WB 攻击向量控制(Attack Vector Controls)让每个人(从Linux高级用户到服务器群管理员)都能更轻松地管理日益繁杂的CPU安全缓解措施。用户无需逐一管理CPU安全缓解措施,也无需时刻关注新推出的缓解措施,而是将其划分为不同的类别,用户可以选择启用/禁用特定类别的缓解措施。我们希望这能帮助用户在持续使用与其需求相关的缓解措施的同时,通过禁用与其需求无关的缓解措施来恢复性能。
TZa LB}�4� 
�!s[��gv�1 攻击向量控制目前分为用户到内核、用户到用户、客户机到主机、客户机到客户机以及跨线程漏洞。通过mitigations=内核启动参数,可以为no_user_kernel、no_user_user、no_guest_host、no_guest_guest和no_cross_thread选项传递不同的组合,以禁用相应类别的缓解措施。多个类别可以通过逗号分隔禁用。
9oj0X>| 1 ^6P�KSE�ba 有关Linux 6.17中可用的攻击向量控制调整的更多详细信息,请参阅内核文档。
vW5>{����
微博帐号登录