13.4. 限制硬件和软件功能


仅启用您使用的硬件和软件功能,以便减少代码受到攻击的可能性。一些功能应只在可信的环境中启用。

PCI passthrough
PCI 透传允许实例直接访问节点上的 PCI 设备。具有 PCI 设备访问的实例可能会允许恶意参与者对固件进行修改。另外,一些 PCI 设备具有直接内存访问(DMA)。当您为使用 DMA 的设备提供实例控制时,它可以获得任意物理内存访问。

您必须为特定用例启用 PCI 透传,如网络功能虚拟化(NFV)。除非部署需要,否则不要启用 PCI 透传。

内核相同的页面合并
内核相同的页面合并(KSM)是一种通过重复数据删除和共享内存页面来减少内存使用的功能。当两个或多个虚拟机在内存中具有相同的页面时,可以共享这些页面以获得更高的密度。内存重复数据删除(Deduplication)策略容易受到侧信通道攻击的影响,且只应在可信环境中使用。在 Red Hat OpenStack Platform 中,默认禁用 KSM。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.