최신 AMD CPU에는 다음과 같은 소프트웨어가 있습니다.SMB를 위한 보안 메모리 암호화사용 가능한 경우 이 매개변수를 Linux 명령줄에 추가하여 명시적으로 활성화할 수 있습니다.
mem_encrypt=on
(에 따르면https://libvirt.org/kbase/launch_security_sev.html)
내 시스템(AMD EPYC CPU 포함)에서 이 기능이 활성화되어 있는지(즉, 기본적으로 활성화되어 있는지) 잘 모르겠습니다.
제 질문은 AMD SME 기능이 활성화되어 있는지 확인하는 방법입니다.
~부터https://www.kernel.org/doc/html/latest/x86/amd-memory-encryption.html제안:
SME에 대한 지원이 존재하는 경우 MSR 0xc00100010(MSR_K8_SYSCFG)을 사용하여 SME가 활성화되어 있는지 및/또는 메모리 암호화가 활성화되어 있는지 확인할 수 있습니다.
나는 이 명령을 실행했습니다(debian 10에서):
apt-get install msr-tools
rdmsr --raw 0xc0010010 | xxd -b
이것은 나에게 다음과 같은 결과를 제공합니다
00000000: 00000000 00000000 11110100 00000000 00000000 00000000 ......
00000006: 00000000 00000000
인용된 소스에 따라 비트 23은 SME가 실제로 활성화/활성(=1) 또는 비활성화/활성(=0)인지 여부를 나타냅니다.
위의 내용이 실제로 이를 테스트하는 올바른 방법이라면 확인은 물론 일부 맥락에서 유효한 답변으로 간주될 수 있습니다. 그렇지 않으면 실행 중인 Linux 시스템에서 SME의 상태를 확인할 수 있으면 좋겠습니다.
답변1
SME가 지원되는 경우( CPUID해당 비트 설정 표시)그리고활성화되면(적절한 MSR 비트가 설정됨) /proc/cpuinfo이 sme플래그가 포함됩니다. 이를 확인할 수 있습니다.SME 감지를 위한 커널 코드 보기/proc/cpuinfo: SME가 완전히 활성화되지 않은 경우 직접 반영된 SME 기능이 삭제됩니다.
당신도 봐야합니다커널 부팅 로그의 해당 메시지:
AMD 메모리 암호화 활성화: SME
중소기업이 활발하다면,
AMD 메모리 암호화 기능 활성화: SEV SEV-ES
SEV 및/또는 SEV-ES가 활성화된 경우.
당신은 또한 볼 수 있습니다/proc/cpuinfo의 플래그는 무엇을 의미합니까?