我的AMD平台是否支持安全内存加密？

我的AMD平台是否支持安全内存加密？

https://access.redhat.com/articles/4255251

本文采用机器翻译，原文见上面的连接

更新 八月16 2019，3:35下午 -- 

英语 

AMD的SME（安全内存加密）功能首先在Red Hat Enterprise Linux 7.5中启用。该技术使用单个密钥来加密由AMD安全处理器在启动时生成的系统内存。

SME要求在系统BIOS或操作系统中启用。在BIOS中启用后，内存加密是透明的，可以在任何操作系统上运行。但是，默认情况下，在引导Red Hat Enterprise Linux内核的所有系统上都关闭此功能，并且必须使用内核引导参数将其打开。

目前，在Red Hat Enterprise Linux 7和8上运行SME时存在一些已知问题。RHEL的内核崩溃转储机制kdump实用程序当前与某些以SME启用模式运行的系统不兼容。在尝试捕获用于调试目的的kdump之前，可能有必要禁用SME。红帽质量工程公司还发现了某些存储控制器的问题，当启用SME时，这些问题可能导致系统遇到启动故障。由于在该技术上发现了问题，因此对SME残疾人进行了使用AMD Epyc处理器的系统认证。一旦AMD SME技术稳定下来，将在启用SME的情况下进行认证。

红帽致力于实现SME技术，并与我们的合作伙伴AMD，戴尔和HPE合作，以尽快解决这些问题。在此之前，Red Hat建议您不要在生产系统上启用SME。如果您在AMD Epyc系统上遇到与SME有关的问题，建议您在Red Hat客户门户中报告这些问题，以便Red Hat工程和质量工程团队可以与我们的OEM合作伙伴一起尽快解决这些问题。

要验证SME当前在系统上是否处于活动状态，请使用以下命令：

生的

# dmesg|grep -i sme

如果启用并激活了SME，则应看到以下输出：

生的

[    0.000000] AMD Secure Memory Encryption (SME) active

要在受影响的系统上禁用SME，请查找并删除以下内核引导参数：

生的

mem_encrypt=on

然后重新引导系统以禁用安全内存加密。如果在系统BIOS中启用了SME，请在尝试进行kdump之前与OEM提供商联系，以获取有关如何正确禁用该技术的详细信息。