Wenn KVM funktioniert, warum wird VMX als deaktiviert angezeigt?

tag-icon tag-icon virtual-machines kvm-virtualization intel-vt-x
Wenn KVM funktioniert, warum wird VMX als deaktiviert angezeigt?

Ich habe VT-x im BIOS aktiviert. Ich verwende qemu/kvm/Manjaro. lscpusagt

$ lscpu
Architecture:            x86_64
  Model name:            Intel(R) Core(TM) i7-8550U CPU @ 1.80GHz
Flags: ... vmx ... 
Virtualization features:
  Virtualization:        VT-x
Vulnerabilities:         
  Itlb multihit:         KVM: Mitigation: VMX disabled

Zusätzlich,

$ sudo rdmsr -f 2:0 0x3A
5

was bedeutet, dass

  • Die VMX-Konfiguration ist gesperrt
  • VMX ist im SMX-Zustand („Safer Mode Extensions“) deaktiviert
  • VMX ist außerhalb des SMX-Zustands aktiviert

Diese Antwortgibt mir Hoffnung: Wenn kvmes geladen wird, funktioniert VMX. Tatsächlich qemufunktioniert kvmsein Beschleuniger einwandfrei (oder scheint es zumindest zu tun). Warum wird VMX dann für die Zwecke der Multihit-Sicherheitslücke als deaktiviert angezeigt?

Ein Beispiellauf qemu:

$ qemu-system-x86_64 -nographic -vga none -net none -nodefaults -machine q35 -accel kvm -cpu host -smp sockets=1,dies=1,cores=2,threads=2 -m 512M ...

QEMU 6.0.0 monitor - type 'help' for more information
(qemu) info kvm
info kvm
kvm support: enabled

Der Gast (in diesem Fall pfSense) läuft bisher einwandfrei.

Antwort1

Vielen Dank für die Frage... Es war auch für mich interessant... Also, nachdem ich das gelesen habe, undhttps://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/multihit.html es ist klar geworden: vmx scheint vorhanden und nicht vom BIOS deaktiviert zu sein. Sicherheitslücke vorhanden, aber vmx wird jetzt nicht verwendet und ist daher einfach deaktiviert. Wenn KVM ausgeführt wird und vmx verwendet, ändert sich die Situation:

 $ cat /sys/devices/system/cpu/vulnerabilities/itlb_multihit 
 KVM: Mitigation: Split huge pages

Das bedeutet, dass die Sicherheitslücke vorhanden ist, aber durch KVM durch Aufteilen der Seiten gemildert wird.

Antwort2

Kurz gesagt, auch wenn die Multihit-Sicherheitslücke VMX vorübergehend deaktivieren kann, ist VT-x Ihres Systems immer noch aktiviert und funktioniert einwandfrei. Der erfolgreiche Betrieb von KVM und Ihrer virtuellen Maschine zeigt an, dass VT-x wie erwartet zur Hardwarebeschleunigung verwendet wird. Sie müssen sich also keine Sorgen über die gemeldete VMX-Deaktivierung aufgrund der Multihit-Sicherheitslücke machen.

verwandte Informationen