커널 잠금이 최대 절전 모드를 방지하는 이유는 무엇입니까?

커널 잠금이 최대 절전 모드를 방지하는 이유는 무엇입니까?

내 시스템 로그(journalctl)에서 다음과 같은 메시지가 자주 표시됩니다.

최대 절전 모드는 제한되어 있습니다. man kernel_lockdown.7을 참조하세요.

이런 것에서 비롯된 것 같다.커널 잠금특징이 옵션은 보안 부팅이 활성화된 UEFI 모드로 부팅할 때만 활성화됩니다.
현재내가 아는 한이 기능은 사용자 공간에서 실행되는 프로그램이 커널을 수정하는 것을 방지하도록 설계되었습니다.

나는 지금까지 이것을 이해하지만 한 가지를 이해하지 못합니다. 커널 잠금이 이 기능을 비활성화하는 이유는 무엇입니까?최대 절전 모드를 완전히 비활성화하는 이유는 무엇입니까?

최대 절전 모드가 비활성화되면 "안전하지 않음"이 정확히 무엇인가요?

잠긴 커널이 내 장치를 최대 절전 모드로 전환하는 것을 원하지 않는 것 같습니다.

Linux 커널 v5.6.15
Fedora 32 Silverblue


교차 게시페도라에 물어보세요.

답변1

에서 언급했듯이맨페이지,

커널 이미지는 나중에 액세스할 수 있는 미디어에 저장되므로 암호화되지 않은 최대 절전 모드/일시 중지 스왑은 허용되지 않습니다.

암호화되지 않은 최대 절전 모드는 최대 절전 모드 시스템 메모리의 내용을 디스크에 있는 그대로 저장합니다. 이를 통해 공격자는 시스템이 절전 모드인 동안 이러한 콘텐츠를 수정할 수 있으며, 재개 시 실행 중인 시스템이 변경되어 잠금이 해제됩니다.

이 맨페이지는 잠금 시 암호화된 최대 절전 모드가 지원된다는 잘못된 희망을 제공하지만 여기에는 문제가 있습니다.현재는 그렇지 않습니다., 실제 요구 사항은징후암호화된 이미지 대신(또는 잠금 모드에 따라 추가로) 이미지를 최대 절전 모드로 전환합니다.

Matthew Garrett은 이 문제를 해결하기 위해 노력해 왔습니다.잠금 상태에서 최대 절전 모드를 작동시키는 팁2021년 2월, 그리고업데이트됨2021년 12월에는 남아있는 여러 문제에 대한 실질적인 해결책을 제공합니다. 일반적인 아이디어는 최대 절전 모드 이미지를 TPM 상태에 연결하여 잠긴 시스템이 해당 시스템에서 생성된 최대 절전 모드 이미지만 복원하고 이후에는 수정되지 않도록 하는 것입니다. 이를 위해서는 TPM 상태가 무엇인지 알아야 합니다. 이미지에 유효하며 커널 자체에서 TPM 상태에 도달합니다.

답변2

최대 절전 모드에서는 서명되지 않은 스왑 공간을 수정하거나 암호화되지 않은 스왑 공간에서 비밀을 추출하여 잠금을 우회하는 것이 "쉽습니다".

그러나 인터넷에 있는 많은 정보와는 달리 한 가지 해결책은 스왑 공간을 최소한 LUKS 암호화하는 것입니다. 직접 경험해 보면 OpenSuSE Leap 15.4와 같은 시스템에서 이것이 가능하지만 문서화는 잘 되어 있지 않습니다. Full HD LUKS 암호화는 잠금 상태에서 최대 절전 모드를 허용할 수도 있습니다.

추천 도서:

배경:

다중 커널 메시지

"lockdown: swapper/0: 최대 절전 모드가 제한되었습니다. man kernel_lockdown.7을 참조하세요."

UEFI 보안 부팅의 최대 절전 모드 상태가 손상되었음을 나타낼 수 있습니다. 인터넷에서 해결 방법을 검색하면 인상이 뒷받침될 수 있습니다. 이 인상은잘못된, 하지만. 표현에는 "제한됨"("비활성화됨" 대신)이 사용됩니다. 이는 규정을 준수하는 최대 절전 모드를 수행하는 방법이 있다는 힌트입니다.

SuSE는 약 2017년부터 kernel_lockdown을 지원하는 서명된 커널/메모리 이미지 패치를 개발한 것으로 나타났습니다. 2011년. 잠금 상태의 최대 절전 모드는 Leap 15.4 이상부터 작동합니다. 다른 배포판이 안전 부팅 시 최대 절전 모드와 관련이 있는지는 모르겠습니다.

이 정보가 다른 사람들이 특정 배포에 대한 상황을 추가로 조사하는 데 도움이 되기를 바랍니다.

관련 정보