현재 설정은 HP Probook G10에서 Windows-11(내 작업에 필요)과 Ubuntu 21.10을 이중 부팅하는 것입니다. Win-11을 실행하려면 보안 부팅이 필요하기 때문에 Linux에서는 최대 절전 모드 없이 이를 수행해야 합니다(정말 어렵습니다).
모든 사전 구축 커널에서 보안 부팅이 활성화되면 이제 최대 절전 모드가 공식적으로 비활성화된다는 것을 깨달았습니다. 나는 이곳의 안전에 감사하며 폐쇄 결정의 성격을 이해합니다. 그러나 경고적인 보안 위험이 발생하더라도 최대 절전 모드와 보안 부팅이 공존하도록 커널 컴파일 구성 옵션이나 패치에서 이 설정을 완화하는 "공식 비공식" 방법이 있습니까?
저는 단지 Win-11과 Linux를 부팅하면서 나에게 제기될 일련의 위험을 감수하고 싶을 뿐입니다.
가능한?
답변1
잠금 LSM 모듈은 최대 절전 모드를 비활성화하는 데 사용되며 이라는 커널 컴파일 플래그가 있으며 CONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOT이를 no로 설정하면 EFI 보안 부팅에서 잠금이 활성화되지 않습니다.
답변2
다음은 제가 빠르게 작성하고 항상 사용하는 패치입니다.
https://gist.github.com/kelvie/917d456cb572325aae8e3bd94a9c1350
거의 동일한 설정으로 프레임 노트북을 설정하는 동안에도 이 문제가 발생했습니다.
lockdown_hibernate암호화된 스왑(및 암호화된 RAM 활성화)이 있으므로 이 패치를 사용하면 커널 매개변수를 추가하고 잠금 중에 최대 절전 모드를 활성화하기 전에 위험을 이해해야 합니다.
잠금을 완전히 비활성화하는 것보다 이 방법의 장점은 잠금 모드에서 제공하는 대부분의 다른 보호 기능을 여전히 얻을 수 있다는 것입니다. 하지만 누군가가 손상된 스왑에서 커널을 로드할 수 있다면 논쟁의 여지가 있습니다.
답변3
최대 절전 모드가 완전히 비활성화되었다는 가정은 잘못된 것입니다. LUKS 암호화된 스왑 또는 디스크가 필요합니다.
UEFI 보안 부팅에서 Linux 최대 절전 모드를 활성화하고 선택한 현재 배포판(또는 메인라인 커널)에서 커널을 잠그는 방법은 무엇입니까?