在虚拟机和管理程序中是否需要减少熔毁/谱？

Question

我正在kvm/qemu管理程序中运行虚拟机。虚拟机管理程序在内核中启用了熔毁/谱缓解功能。

虚拟机是否也需要启用熔毁/谱缓解，或者由虚拟机管理程序提供的保护是否足够？

换句话说，主机和客人都需要启用熔毁/幽灵缓解吗？

Answer 1

问：.。主机和客人都需要启用熔毁/幽灵缓解吗？

是

当这些漏洞公布时，QEMU在"QEMU和幽灵与熔毁攻击“上发布了：

现在，KVM没有公共补丁将新的CPUID位和MSR公开给虚拟机，因此不迫切需要更新QEMU；请记住，更新主机内核就足以保护主机免受恶意客户的攻击。尽管如此，在接下来的几天里，更新将发布到qemu邮件列表中，并将发布一个2.11.1补丁版本。一旦提供了更新，实时迁移到更新版本的QEMU将不足以保护来宾内核不受来宾用户空间的影响。因为必须将虚拟CPU更改为具有新的CPUID位的CPU，所以必须重新启动来宾。(05/01/18 -保罗·邦齐尼和爱德华多·哈伯科斯特：来源)

更新已经可用，因此，您应该继续它们，并启用缓解以及对客人。

根据QEMU的文章"QEMU 2.11.1并为KVM客人利用谱/熔毁缓解措施“：

这里讨论的是使客户操作系统能够启用相同的(或类似的)缓解措施，以保护自己不受在客户操作系统下运行的非特权来宾进程的影响。为x86 KVM来宾启用缓解功能:对于x86来宾，有两个与谱/熔毁缓解相关的额外CPU标志：spec-ctrl和ibpb：

• spec-ctrl：揭露间接分支限制投机(IBRS)
• ibpb：暴露间接分支预测障碍

利用这一功能需要客户/主机内核更新，以及英特尔和最近的AMD处理器的微码更新。上游的这些内核补丁的状态仍在变化中，但大多数受支持的发行版都有某种形式的补丁，足以充分利用该功能。微码更新的当前状态/可用性取决于CPU架构/模型。请与您的供应商/发行版核实这些先决条件是否可用/安装。(14/02/18 -迈克尔·罗斯：来源)