郵件列表顯示,由于某些平臺上的缺點,linux 內核將不再默認在支持的硬件上使用 AMD 安全內存加密 (SME)。
自從將 AMD SME 支持引入 Linux 內核以來,當內核中內置 SME 支持 (AMD_MEM_ENCRYPT) 時,安全內存加密都會默認激活。"AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT" 的默認設置允許開箱即用地使用安全內存加密,而無需指定任何額外的內核參數等。然而,這導致了某些平臺上的啟動失敗,尤其是 IOMMU 以及一些圖形驅動程序,不希望對內存進行加密。
默認情況下不使用 AMD SME 的更改源于相關平臺問題 Raven Ridge,以及默認情況下嘗試 SME 可能導致的啟動失敗。不過,由于 SME 需要在內核啟動過程的早期階段啟用,至少目前不可能有增強的邏輯來以更健壯的方式確定何時可以在沒有用戶交互的情況下啟用/禁用 SME。
因此,隨著 x86/urgent pr 進入 Linux 5.15,然后向后移植到以前的內核,AMD 內存加密將不會默認啟用。如果當前內核已經包含了 AMD 內存加密代碼,則仍然可以通過設置 "mem_encrypt=on "選項來啟用安全內存加密。
綜上所述:大家如果對自己系統有什么特殊要求的,一定記得要修改系統的默認值,否則會有一些意外安全問題!
