Re: [d-kernel] [PATCH 0/6] [7.0, 7.1] Lock down the kernel if booted in Secure Boot mode

From: Vitaly Chikunov <vt@altlinux.org>
To: ALT Linux kernel packages development <devel-kernel@lists.altlinux.org>
Subject: Re: [d-kernel] [PATCH 0/6] [7.0, 7.1] Lock down the kernel if booted in Secure Boot mode
Date: Sat, 9 May 2026 02:01:13 +0300
Message-ID: <af5lUMGeyOScTdDo@altlinux.org> (raw)
In-Reply-To: <20260506173722.1012394-1-egori@altlinux.org>

Egor,

On Wed, May 06, 2026 at 08:37:16PM +0300, Egor Ignatov wrote:
> Данный набор патчей включает механизм kernel lockdown при загрузке
> системы в режиме Secure Boot. При обнаружении активного Secure Boot
> ядро автоматически переводится в режим lockdown.
> 
> В основу серии положен изначальный патчсет "security, efi: Add kernel
> lockdown" за авторством David Howells. Использованы более актуальные
> варианты соответствующих патчей, поддерживаемые в ядрах Fedora и Debian.

Большой патчсет, полагаю, было бы неплохо знать где находится апстрим этого
всего с "более актуальные варианты соответствующих патчей", на случай когда
возникновения merge conflicts.
А так же причина почему выбран конкретный пачт, ведь не во всех
указанных дистрибутивах они есть (плюс еще OpenSUSE).

Я поискал:

1. В Fedora патчи в kernel-ark без указания какие относятся как
необходимые для "Lock down the kernel if booted in Secure Boot".

2. https://github.com/SUSE/kernel-source/tree/master/patches.suse
  У них больше патчей, но, полагаю, не все они нужны.
  Из нашего списка там эти:

   [PATCH 1/3] security: lockdown: expose a hook to lock the kernel down
   [PATCH 2/3] efi: Add an EFI_SECURE_BOOT flag to indicate secure boot mode
   [PATCH 3/3] efi: Lock down the kernel if booted in secure boot mode
   [PATCH] lockdown: fix kernel lockdown enforcement issue when secure

Может стоит ограничиться этими изменениями?

3. https://salsa.debian.org/kernel-team/linux/-/tree/debian/latest/debian/patches/features/all/lockdown

  arm64-add-kernel-config-option-to-lock-down-when.patch
  efi-add-an-efi_secure_boot-flag-to-indicate-secure-b.patch
  efi-lock-down-the-kernel-if-booted-in-secure-boot-mo.patch
  mtd-disable-slram-and-phram-when-locked-down.patch

Может стоит выбрать минимальный набор патчей удовлетворяющий shim?

> 
> Серия предназначена для веток 7.0 и 7.1.
> 
> Ben Hutchings (1):
>   mtd: phram,slram: Disable when the kernel is locked down
> 
> David Howells (2):
>   efi: Add an EFI_SECURE_BOOT flag to indicate secure boot mode
>   efi: Lock down the kernel if booted in secure boot mode
> 
> Egor Ignatov (1):
>   config: Enable LOCK_DOWN_IN_EFI_SECURE_BOOT
> 
> Jeremy Cline (1):
>   security: lockdown: expose security_lock_kernel_down function
> 
> Linn Crosetto (1):
>   efi: determine and pass Secure Boot state via FDT
> 
>  arch/x86/kernel/setup.c            | 16 ++----------
>  config                             |  1 +
>  drivers/firmware/efi/Makefile      |  1 +
>  drivers/firmware/efi/efi-init.c    |  5 +++-
>  drivers/firmware/efi/fdtparams.c   | 12 ++++++++-
>  drivers/firmware/efi/libstub/fdt.c |  6 +++++
>  drivers/firmware/efi/secureboot.c  | 42 ++++++++++++++++++++++++++++++
>  drivers/mtd/devices/phram.c        |  6 ++++-
>  drivers/mtd/devices/slram.c        |  9 ++++++-
>  include/linux/efi.h                | 22 ++++++++++------
>  include/linux/security.h           |  9 +++++++
>  security/lockdown/Kconfig          | 15 +++++++++++
>  security/lockdown/lockdown.c       | 11 ++++++++
>  13 files changed, 129 insertions(+), 26 deletions(-)

>  create mode 100644 drivers/firmware/efi/secureboot.c
> 
> -- 
> 2.50.1
> 
> _______________________________________________
> devel-kernel mailing list
> devel-kernel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel-kernel