Ядерный патч enable overrides for missing ACS capabilities

1

2

Спецы по ядру, почему этот весьма полезный патч до сих пор не принят в основную ветку и как его туда пропихнуть?
Этот маленький diff к quirks.c позволяет на десктопном железе положить каждую железку в отдельную iommu группу, работает отлично.

Ссылка

←	Работа в Qemu

Поясните по отличию репозиториев Fedora и CentOS

→

ссылки на lkml в студию.

Andrey_Utkin ★★
(23.01.16 00:00:29 MSK)

Ответ на: комментарий от Andrey_Utkin 23.01.16 00:00:29 MSK

https://lkml.org/lkml/2013/5/30/513

~~King_Carlo~~ ★★★★★
(23.01.16 00:01:51 MSK) автор топика

Ответ на: комментарий от King_Carlo 23.01.16 00:01:51 MSK

Нечего сказать по сути вопроса, но по процедуре, тебе следует написать письмо автору, маинтейнеру, всем участникам той переписки, добавив все тематические мейллисты в CC.

Andrey_Utkin ★★
(23.01.16 00:13:44 MSK)

Ответ на: комментарий от Andrey_Utkin 23.01.16 00:13:44 MSK

Странная ситуация, этот патч широко известен в узких кругах и никто, до сих пор, ничего не сделал для его продвижения. Ладно, займусь писаниной, может чего и получится. Спасибо за совет.

~~King_Carlo~~ ★★★★★
(23.01.16 11:36:11 MSK) автор топика

Ссылка

Может быть, потому что он создаёт видимость работы IOMMU и кладёт хрен на безопасность, если на самом деле в железе нет поддержки ACS?

intelfx ★★★★★
(23.01.16 11:54:22 MSK)
Последнее исправление: intelfx 23.01.16 11:54:36 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 23.01.16 11:54:22 MSK

создаёт видимость работы IOMMU

А как же оно тогда работает? Интеловские платформы любят сваливать в одну iommu группу кучу железяк, которые через vfio, естественно, по одной в гостя не прокидываются. После применения этого патча, каждая железяка, отдельно от других, отлично бросается в гостя. Я не спец в вопросах реализации acs, но логика подсказывает, что видимость не предполагает нормальной работы.

кладёт хрен на безопасность

Какого сорта эксплойты можно применять на патченом таким образом ядре?

~~King_Carlo~~ ★★★★★
(23.01.16 12:02:33 MSK) автор топика
Последнее исправление: King_Carlo 23.01.16 12:04:32 MSK (всего исправлений: 1)

9 августа 2016 г.

Ответ на: комментарий от King_Carlo 23.01.16 12:02:33 MSK

Какого сорта эксплойты можно применять на патченом таким образом ядре?

Я думаю он про безопасность на уровне оборудования, здесь описано: http://vfio.blogspot.ru/2014/08/iommu-groups-inside-and-out.html

Another option that many users have found is a kernel patch which overrides PCIe ACS support in the kernel, allowing command line options to falsely expose isolation capabilities of various components. In many cases this appears to work well, but without vendor confirmation, we cannot be sure that the devices are truly isolated. The occurrence of a misdirected DMA may be sufficiently rare to mask association with this option. We may also find differences in chipset programming or address assignment between vendors that allows relatively safe use of this override on one system, while other systems may experience issues. Adjusting slot usage and using a platform with proper isolation support are clearly the best options.

Vetrintsev
(09.08.16 23:10:58 MSK)