攻击向量控制 (Attack Vector Controls) 功能现已集成到 Linux 6.17 中,AMD 工程师 David Kaplan 开发了新的调优旋钮,使 Linux 服务器管理员和高级用户能够更轻松地选择与其系统和预期工作负载相关的 CPU 安全缓解措施。
x86 / bugs合并请求已于本周提交,随之而来的是将 Retbleed 代码与英特尔 CPU 上的 ITS Training Solo 缓解措施分离开来,以便能够独立于 Retbleed 缓解措施启用 ITS 填充。推测返回堆栈溢出 (SRSO) 缓解措施的代码也得到了简化。最值得注意的是,其余的攻击向量控制代码也已合并。
攻击向量控制 (Attack Vector Controls) 让每个人(从 Linux 高级用户到服务器群管理员)都能更轻松地管理日益繁杂的 CPU 安全缓解措施。用户无需逐一管理 CPU 安全缓解措施,也无需时刻关注新推出的缓解措施,而是将其划分为不同的类别,用户可以选择启用/禁用特定类别的缓解措施。我们希望这能帮助用户在持续使用与其需求相关的缓解措施的同时,通过禁用与其需求无关的缓解措施来恢复性能。
攻击向量控制目前分为用户到内核、用户到用户、客户机到主机、客户机到客户机以及跨线程漏洞。通过mitigations=内核启动参数,可以为 no_user_kernel、no_user_user、no_guest_host、no_guest_guest 和 no_cross_thread 选项传递不同的组合,以禁用相应类别的缓解措施。多个类别可以通过逗号分隔禁用。
有关 Linux 6.17 中可用的攻击向量控制调整的更多详细信息,请参阅内核文档。