1 votes

HaroldFinch avatar

Technologie d'exécution de confiance d'Intel (TXT) : activer ou non dans le BIOS ?

Demandé el 5 de Janvier, 2019
Quand la question a-t-elle été
11962 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

J'ai une nouvelle station de travail mobile Dell 7530 que je viens de commencer à configurer.

Cette machine utilise un Intel Xeon E-2186M et dispose de 32 Go de mémoire DRAM ECC. Ce processeur prend entièrement en charge les dernières technologies de virtualisation matérielle (VT-x, VT-d, EPT).

Initialement, cette machine fonctionnera sous Windows 10, faute de temps pour changer de système d'exploitation. J'espère vraiment avoir le temps dans environ un an d'investir dans le passage à Linux, car je déteste le nouveau modèle commercial de logiciels espions en tant que service de Bea$t. Dans l'intervalle, je vais certainement faire tourner des machines virtuelles Linux sur mon ordinateur.

L'une de mes premières mesures a été d'entrer dans son BIOS et de passer en revue tous les paramètres. J'ai été heureux de constater que les paramètres par défaut de Dell étaient généralement bons, seuls quelques changements étaient nécessaires. Par exemple, il était configuré par défaut pour le démarrage sécurisé.

Dans la section Support de la virtualisation, la technologie Intel Virtualization Technology (VT-x) et VT for Direct I/O (VT-d) sont activées par défaut, ce qui est également une bonne chose.

Cependant, il y avait une 3ème option pour la technologie d'exécution de confiance d'Intel (TXT) qui était désactivée. Je pense que la description du BIOS disait ceci :

Cette option spécifie si un moniteur de machine virtuelle mesurée (MVMM) peut utiliser les capacités matérielles supplémentaires fournies par la technologie la technologie Trusted Execution d'Intel. La technologie de virtualisation TPM, et la technologie de virtualisation pour les E/S directes doivent être activées pour utiliser cette fonction.

Trusted Execution - désactivé par défaut.

Je dis "penser" parce que le documentation officielle de Dell pour le BIOS du 7530 à ce jour, ne mentionne pas cette option. Le texte ci-dessus concerne le Dell Latitude E7470 mais je me souviens que c'est ce que disait mon BIOS.

A partir de cette description, plus Le livre blanc d'Intel Si vous êtes un utilisateur de VirtualBox, cela semble être quelque chose que je voudrais activer, puisque j'utiliserai certainement VirtualBox (et à l'avenir, quelque chose de plus puissant comme KVM ou Xen). Malheureusement, une recherche sur le Web n'a pas permis de trouver d'appui à cette théorie.

Au lieu de cela, tout ce que j'ai trouvé est plusieurs rapports disant de désactiver, en particulier sur les systèmes Dell, à la fois pour VirtualBox et KVM : lien 1 , lien 2 . (Ma question originale mettait plus de liens ici, mais quand j'ai essayé de soumettre, ce site web a prétendu que ma question était un spam...)

Quelqu'un connaît-il la réponse définitive ?

Je note que certains des liens indiquant de ne pas l'activer remontent à plusieurs années, donc peut-être que c'était un conseil autrefois valable qui ne l'est plus aujourd'hui ?

Demandé el 5 de Janvier, 2019 par HaroldFinch

Réponse

Trop de publicités?

-1voto

Marcin avatar
Marcin Points 1

Je pense que cette option devrait être activée.

Je l'avais désactivé et je veux vérifier si IOMMU est activé.

Bien sûr, j'ajoute intel_iommu=on pour /etc/default/grub et mettre à jour Grub et redémarrer le système avant.

Il m'a donné une erreur de ma carte graphique quand j'ai lancé une commande :

dmesg | grep -E (”DMAR | IOMMU”) cela m'a donné 2 lignes :

DMAR: IOMMU enabled

DMAR: BIOS has allocated no shadow GTT; disabling IOMMU for graphics.

Donc IOMMU pour ma carte graphique a été désactivé. Ensuite, j'ai réglé "Intel Trusted Execution Technology" dans le BIOS sur activé et maintenant la commande :

dmesg | grep -E (”DMAR | IOMMU”) a produit le résultat :

[    0.057735] ACPI: DMAR 0x00000000CA9B0718 0000B8 (v01 INTEL  CP_DALE  00000001 INTL 00000001)

[    0.417895] DMAR: IOMMU enabled

[    0.504475] DMAR: Host address width 36

[    0.504476] DMAR: DRHD base: 0x000000fed90000 flags: 0x0

[    0.504483] DMAR: dmar0: reg_base_addr fed90000 ver 1:0 cap c9008020e30272 ecap 1000

[    0.504484] DMAR: DRHD base: 0x000000fed91000 flags: 0x0*

[    0.504487] DMAR: dmar1: reg_base_addr fed91000 ver 1:0 cap c0000020230272 ecap 1000

[    0.504488] DMAR: DRHD base: 0x000000fed93000 flags: 0x1

[    0.504493] DMAR: dmar2: reg_base_addr fed93000 ver 1:0 cap c9008020630272 ecap 1000

[    0.504494] DMAR: RMRR base: 0x000000ca971000 end: 0x000000ca985fff

[    0.504496] DMAR: RMRR base: 0x000000cdc00000 end: 0x000000cfffffff

[    1.635058] DMAR: Disabling batched IOTLB flush on Ironlake

[    2.201405] DMAR: No ATSR found

[    2.201519] DMAR: dmar1: Using Register based invalidation

[    2.201541] DMAR: dmar0: Using Register based invalidation

[    2.201568] DMAR: dmar2: Using Register based invalidation
[    2.201599] DMAR: Setting RMRR:

[    2.201821] DMAR: Setting identity map for device 0000:00:02.0 [0xcdc00000 - 0xcfffffff]

[    2.202736] DMAR: Setting identity map for device 0000:00:1a.0 [0xca971000 - 0xca985fff]

[    2.202898] DMAR: Setting identity map for device 0000:00:1d.0 [0xca971000 - 0xca985fff]

[    2.202941] DMAR: Prepare 0-16MiB unity mapping for LPC

[    2.203069] DMAR: Setting identity map for device 0000:00:1f.0 [0x0 - 0xffffff]

[    2.233832] DMAR: Intel(R) Virtualization Technology for Directed I/O

[   14.362393] [drm] DMAR active, disabling use of stolen memory

Je pense que maintenant IOMMU est actif. J'espère que cela vous aidera à vous décider.

Répondu el 20 de Juin, 2019 par Marcin (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X