From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sat, 9 May 2026 02:01:13 +0300 From: Vitaly Chikunov To: ALT Linux kernel packages development Message-ID: References: <20260506173722.1012394-1-egori@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20260506173722.1012394-1-egori@altlinux.org> Subject: Re: [d-kernel] [PATCH 0/6] [7.0, 7.1] Lock down the kernel if booted in Secure Boot mode X-BeenThere: devel-kernel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux kernel packages development List-Id: ALT Linux kernel packages development List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 08 May 2026 23:01:13 -0000 Archived-At: List-Archive: List-Post: Egor, On Wed, May 06, 2026 at 08:37:16PM +0300, Egor Ignatov wrote: > Данный набор патчей включает механизм kernel lockdown при загрузке > системы в режиме Secure Boot. При обнаружении активного Secure Boot > ядро автоматически переводится в режим lockdown. > > В основу серии положен изначальный патчсет "security, efi: Add kernel > lockdown" за авторством David Howells. Использованы более актуальные > варианты соответствующих патчей, поддерживаемые в ядрах Fedora и Debian. Большой патчсет, полагаю, было бы неплохо знать где находится апстрим этого всего с "более актуальные варианты соответствующих патчей", на случай когда возникновения merge conflicts. А так же причина почему выбран конкретный пачт, ведь не во всех указанных дистрибутивах они есть (плюс еще OpenSUSE). Я поискал: 1. В Fedora патчи в kernel-ark без указания какие относятся как необходимые для "Lock down the kernel if booted in Secure Boot". 2. https://github.com/SUSE/kernel-source/tree/master/patches.suse У них больше патчей, но, полагаю, не все они нужны. Из нашего списка там эти: [PATCH 1/3] security: lockdown: expose a hook to lock the kernel down [PATCH 2/3] efi: Add an EFI_SECURE_BOOT flag to indicate secure boot mode [PATCH 3/3] efi: Lock down the kernel if booted in secure boot mode [PATCH] lockdown: fix kernel lockdown enforcement issue when secure Может стоит ограничиться этими изменениями? 3. https://salsa.debian.org/kernel-team/linux/-/tree/debian/latest/debian/patches/features/all/lockdown arm64-add-kernel-config-option-to-lock-down-when.patch efi-add-an-efi_secure_boot-flag-to-indicate-secure-b.patch efi-lock-down-the-kernel-if-booted-in-secure-boot-mo.patch mtd-disable-slram-and-phram-when-locked-down.patch Может стоит выбрать минимальный набор патчей удовлетворяющий shim? > > Серия предназначена для веток 7.0 и 7.1. > > Ben Hutchings (1): > mtd: phram,slram: Disable when the kernel is locked down > > David Howells (2): > efi: Add an EFI_SECURE_BOOT flag to indicate secure boot mode > efi: Lock down the kernel if booted in secure boot mode > > Egor Ignatov (1): > config: Enable LOCK_DOWN_IN_EFI_SECURE_BOOT > > Jeremy Cline (1): > security: lockdown: expose security_lock_kernel_down function > > Linn Crosetto (1): > efi: determine and pass Secure Boot state via FDT > > arch/x86/kernel/setup.c | 16 ++---------- > config | 1 + > drivers/firmware/efi/Makefile | 1 + > drivers/firmware/efi/efi-init.c | 5 +++- > drivers/firmware/efi/fdtparams.c | 12 ++++++++- > drivers/firmware/efi/libstub/fdt.c | 6 +++++ > drivers/firmware/efi/secureboot.c | 42 ++++++++++++++++++++++++++++++ > drivers/mtd/devices/phram.c | 6 ++++- > drivers/mtd/devices/slram.c | 9 ++++++- > include/linux/efi.h | 22 ++++++++++------ > include/linux/security.h | 9 +++++++ > security/lockdown/Kconfig | 15 +++++++++++ > security/lockdown/lockdown.c | 11 ++++++++ > 13 files changed, 129 insertions(+), 26 deletions(-) > create mode 100644 drivers/firmware/efi/secureboot.c > > -- > 2.50.1 > > _______________________________________________ > devel-kernel mailing list > devel-kernel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel-kernel