Linux 5.14内核正整合memfd_secret 可创建秘密内存区域

Linux Kernel 5.14 内核正在整合“memfd_secret”。该系统调用可以在 Linux 上创建秘密内存区域，该区域仅对拥有的进程可见，而不会映射到其他进程或内核页表。 这项工作起源于为 Linux 平台上的秘密内存提出的 secretmemfd 倡议，在过去 1 年中，secretmemfd 已通过了多轮审查。

这些秘密内存区域的预期使用情况是，像 OpenSSL 的私钥可能被存储在这些区域中，以减少它们暴露在系统内存中的可能性，并且无法通过现代硬件的其他硬件加密方法进行备份。

使用 memfd_secret 意味着这些内存区域将只被映射到可以访问拥有的文件描述符的进程的页表中，并且不被映射到内核的直接映射中。对memfd_secret的访问在默认情况下是禁用的，但需要在启动内核时使用 secretmem_enable boot time 选项来启用这个秘密内存功能。

作为 Andrew Morton 补丁的一部分，Linux 5.14 上周五已经合并 memfd_secret。该 memfd_secret 补丁是由 IBM 的 Mike Rapoport 创造的。