Из-за возможности DMA-атак со стороны подключенных устройств Thunderbolt, Linux и другие платформы годами создавали средства защиты и различные уровни безопасности для Thunderbolt, чтобы лучше защитить системы с этим высокоскоростным интерфейсом, открывающим PCIe. В грядущем ядре Linux 6.13 логика ядра будет усовершенствована, чтобы лучше обнаруживать встроенные контроллеры Thunderbolt и доверять им. Эстер Шиманович (Esther Shimanovich) из Google подготовила патч для обнаружения и проверки встроенных чипов Thunderbolt. Эстер объясняет, что патч поставлен в очередь в ветку PCI-подсистемы «thunderbolt» перед окном слияния Linux 6.13:
Некоторые компьютеры с процессорами, в которых отсутствуют функции Thunderbolt, используют дискретные чипы Thunderbolt для добавления функциональности Thunderbolt. Эти чипы Thunderbolt расположены внутри корпуса, между корневым портом с надписью ExternalFacingPort и портом USB-C. Эти устройства Thunderbolt PCIe должны быть помечены как фиксированные и доверенные, поскольку они встроены в компьютер. В противном случае политики безопасности, опирающиеся на эти флаги, могут привести к непредвиденным результатам, например, к запрету перечисления портов USB-C. Определите описанный выше сценарий методом исключения.
- Встроенные хост-контроллеры Thunderbolt уже имеют встроенный Thunderbolt, поэтому все, что находится за пределами их корневого порта на внешней стороне, является съемным и недоверенным. Определите их с помощью следующих свойств: – Большинство интегрированных хост-контроллеров имеют свойство ACPI «usb4-host-interface». – Интегрированные корневые порты Thunderbolt PCIe до Alder Lake не имеют свойства ACPI «usb4-host-interface». Определите их по идентификаторам PCI.
- Если корневой порт не имеет интегрированных возможностей Thunderbolt, но имеет свойство ACPI «ExternalFacingPort», это означает, что производитель решил использовать отдельный хост-контроллер Thunderbolt, встроенный в компьютер. Этот хост-контроллер можно определить по тому, что он расположен непосредственно под корневым портом, обращенным к внешнему интерфейсу и не имеющим встроенного Thunderbolt. Пометьте его как доверенный и фиксированный. Все, что расположено ниже него, является недоверенным и съемным.
Таким образом, это изменение, ожидаемое в Linux 6.13, должно устранить проблему, когда порты USB-C/Thunderbolt иногда не перечисляются в списке устройств Linux.
Окно слияния Linux 6.13 откроется в конце этого месяца, а стабильное ядро Linux 6.13 дебютирует в феврале.
Комментарии (0)