Bilang bahagi ng kanilang trabaho sa paligid Ang suporta ng Trust Domain Extensions (TDX) para sa Linux, ang mga inhinyero ng Intel ay nagmumungkahi ng pagpipiliang pansala ng driver para sa Linux upang maitakda ang payagan o tanggihan ang mga listahan ng (mga) driver na maaaring o hindi mai-load ng na-boot na kernel.

Upang mabawasan ang pag-atake sa ibabaw ng mga virtual machine ng bisita habang nais pa ring magamit ang parehong pagbuo ng kernel sa pagitan ng isang host at panauhin, hinahanap ng mga inhinyero ng Intel na idagdag ang suporta ng filter ng driver na ito sa kernel. Kapag na-boot ang panauhin, sa pamamagitan ng linya ng utos ng kernel maaari lamang nilang tukuyin ang mga tukoy na driver upang pahintulutan na mai-load ng kernel o kahalili na nagtatakda ng isang listahan ng mga tukoy na driver na hindi dapat payagan na ma-load ng system.

Bilang default ang panukalang ito ay hindi nagbabago ng anumang default na pag-uugali ng kernel. Gagamitin ng framework ng filter ng driver ang filter_deny_drivers=at filter_allow_drivers=mga pagpipilian para sa madaling pagtukoy kung ano ang pinapayagan ng mga driver ng kernel nang hindi kinakailangang pisikal na alisin ang anumang mga module o muling itayo ang kernel na may ibang Kconfig. Ang katayuan ng filter ng driver sa isang tumatakbo na system na may ganitong patch ay maaari ring tanungin sa pamamagitan ng sysfs. ang kernel mailing list .

Categories: IT Info