Linux Kernel 5.14 內核正在整合“memfd_secret”。該系統調用可以在 Linux 上創建秘密內存區域,該區域僅對擁有的進程可見,而不會映射到其他進程或內核頁表。
這項工作起源於為 Linux 平台上的秘密內存提出的 secretmemfd 倡議,在過去 1 年中,secretmemfd 已通過了多輪審查。
這些秘密內存區域的預期使用情況是,像 OpenSSL 的私鑰可能被存儲在這些區域中,以減少它們暴露在系統內存中的可能性,並且無法通過現代硬件的其他硬件加密方法進行備份。
使用 memfd_secret 意味着這些內存區域將只被映射到可以訪問擁有的文件描述符的進程的頁表中,並且不被映射到內核的直接映射中。對memfd_secret的訪問在默認情況下是禁用的,但需要在啟動內核時使用 secretmem_enable boot time 選項來啟用這個秘密內存功能。
作為 Andrew Morton 補丁的一部分,Linux 5.14 上周五已經合併 memfd_secret。該 memfd_secret 補丁是由 IBM 的 Mike Rapoport 創造的。