В рамках своей работы над Поддержка Trust Domain Extensions (TDX) для Linux, инженеры Intel предлагают вариант фильтра драйверов для Linux, чтобы иметь возможность устанавливать разрешающие или запрещающие списки драйверов, которые могут или не могут быть загружены загруженным ядром.
Чтобы уменьшить поверхность атаки на гостевых виртуальных машинах, при этом желая при этом иметь возможность использовать одну и ту же сборку ядра между хостом и гостем, инженеры Intel стремятся добавить в ядро поддержку этого фильтра драйвера. При загрузке гостя через командную строку ядра они могут просто указать конкретные драйверы, которые разрешить загрузку ядром, или, в качестве альтернативы, установить список определенных драйверов, которые не должны загружаться системой.
По умолчанию это предложение не меняет поведение ядра по умолчанию. Инфраструктура фильтров драйверов будет использовать параметры filter_deny_drivers=и filter_allow_drivers=, чтобы легко указать, какие драйверы ядра разрешить, без необходимости физического удаления каких-либо модулей или пересборки ядра с другим Kconfig. Статус фильтра драйвера в работающей системе с этим патчем также можно запросить через sysfs.
Подробнее об этой предлагаемой структуре фильтров драйверов для ядра Linux см. список рассылки ядра .