AMD 工程团队主导的 攻击向量控制 (Attack Vector Controls)有望随着即将发布的 Linux 6.17 内核被主线合并,目前剩余补丁已被纳入 TIP 分支。
去年,AMD 首次发布了攻击向量控制的原始补丁,旨在重新思考 CPU 安全缓解措施的处理方式 。通过攻击向量控制,Linux 系统/服务器管理员可以根据系统的实际角色,灵活选择应用哪些 CPU 缓解措施,而无需逐一启用或禁用各项安全缓解。
攻击向量控制通过将 CPU 安全缓解措施分为“用户到内核”、“用户到用户”、“虚拟机到宿主机”、“虚拟机到虚拟机”以及“跨线程”等类别,极大简化了缓解管理 。
这意味着:
- 如果服务器运行虚拟机,
- 如果服务器只运行可信虚拟机,或混合运行来自不同不可信用户的虚拟机,
- 以及类似场景,
管理员都能更有效地控制这些安全缓解措施,适配不同的 AMD 和 Intel 处理器。
在 Linux 6.15 版本中,部分准备补丁已被合并 。而在 Linux 6.17 版本,实际的功能支持有望被主线接纳。
今天,攻击向量控制补丁已通过 tip/tip.git’s x86/bugs 分支 合并。既然补丁已进入 TIP 分支,预计会在下一个内核周期提交:即将到来的 Linux 6.17 合并窗口将在 7 月底或 8 月初开启。
📄 更多信息请参阅 当前攻击向量控制文档 ,了解如何在 Linux 系统上管理 CPU 安全缓解措施。