저는 최근 RTX3050이 탑재된 노트북에서 Arch와 Fedora를 안전하게 부팅했습니다.
여러분 모두 아시다시피, 커널이 로드하려면 Fedora에서 Nvidia 모듈에 서명해야 합니다. 그러나 나는 이것이 아치의 경우가 아니라는 것을 발견했습니다. Arch는 서명되지 않은 경우에도 Nvidia 모듈을 로드합니다. 물론 커널과 GRUB가 서명된 경우입니다.
약간의 조사 끝에 발견했습니다.이 게시물module.sig_enforce=1서명 확인을 강제하는 커널 매개변수는 ArchWiki에 언급되어 있습니다 . 하지만,Fedora 문서의 이 항목, SecureBoot가 활성화된 경우 위의 커널 매개변수는 아무런 차이가 없다고 언급했습니다.
이것커널 문서CONFIG_MODULE_SIG_FORCE커널 구성의 옵션을 언급하십시오. 그래서 저는 Fedora와 Arch 구성을 살펴보기로 했습니다.
정말,아치이 옵션은 설정되어 있지 않습니다. 하지만 그래서는 안돼페도라 모자.
그렇다면 모듈 처리에서 이러한 차이가 발생하는 이유는 무엇입니까?
편집: CONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOTFedora의 Matrix Room에서 채팅한 후 Fedora의 구성에는 옵션이 있지만 Arch의 구성에는 없다는 것을 발견했습니다. 그러나 이와 관련된 문서를 찾을 수 없습니다.docs.kernel.org;참고용으로만 사용여기. 모든 커널 구성 옵션을 문서화한 다른 사이트가 있습니까?
답변1
당신이 발견했듯이 이것은 시행됩니다 CONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOT. 이 설정이 지원됩니다커널 패치아직 업스트림에 병합되지 않았습니다. Fedora 및 RHEL 커널에서는 찾을 수 있지만 Arch에서는 찾을 수 없습니다.
아직 업스트림에 병합되지 않았기 때문에 업스트림 커널 문서나 업스트림 커널을 설명하는 다른 사이트에서 찾을 수 없습니다.