Confira !!
Como parte de seu trabalho em torno do suporte Trust Domain Extensions (TDX) para Linux, os engenheiros da Intel estão propondo uma opção de filtro de driver para que o Linux seja capaz de definir listas de permissão ou negação de driver (s) que podem ou não ser carregadas pelo kernel inicializado .
Para reduzir a superfície de ataque nas máquinas virtuais convidadas e, ao mesmo tempo, querer usar o mesmo kernel compilado entre um host e um convidado, os engenheiros da Intel estão procurando adicionar este suporte de filtro de driver ao kernel. Ao inicializar o convidado, através da linha de comando do kernel, eles podem apenas especificar os drivers específicos para permitir serem carregados pelo kernel ou, alternativamente, definir uma lista de drivers específicos que não devem ser carregados pelo sistema.
Por padrão, esta proposta não muda nenhum comportamento padrão do kernel. A estrutura de filtro de driver faria uso das opções filter_deny_drivers = e filter_allow_drivers = para especificar facilmente quais drivers de kernel permitir sem ter que remover fisicamente quaisquer módulos ou reconstruir o kernel com um Kconfig diferente. O status do filtro de driver em um sistema em execução com este patch também pode ser consultado via sysfs.
Mais detalhes sobre esta estrutura de filtro de driver proposta para o kernel Linux através da lista de discussão do kernel .
Até a próxima !!
Nenhum comentário:
Postar um comentário