From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <egori@altlinux.org>
Message-ID: <b37a5492-f906-44c9-bb8f-eac1d61ede60@altlinux.org>
Date: Wed, 3 Jun 2026 12:33:48 +0300
MIME-Version: 1.0
User-Agent: Mozilla Thunderbird
Content-Language: en-US, ru
To: devel@lists.altlinux.org, sisyphus@lists.altlinux.org
From: Egor Ignatov <egori@altlinux.org>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: [devel] Kernel lockdown in UEFI Secure Boot mode
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 03 Jun 2026 09:33:49 -0000
Archived-At: <http://lore.altlinux.org/devel/b37a5492-f906-44c9-bb8f-eac1d61ede60@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Всем добрый день!

В ближайшее время в Сизиф начнут попадать ядра, в которых lockdown режим 
будет принудительно включаться при загрузке в UEFI Secure Boot. Для 
большинства пользователей это изменение никак не повлияет на работу 
системы. При этом режим lockdown накладывает ряд ограничений, которые в 
некоторых сценариях могут затрагивать работу отдельных системных функций 
и возможностей.

Изменения касаются пользователей, у которых:
- Система установлена в режиме UEFI
- Включен режим UEFI Secure Boot

Основные ограничения режима lockdown:
- Ограничено использование незашифрованного swap для гибернации и сна
- Ограничена загрузка неподписанных модулей ядра
- Ограничена загрузка неподписанных бинарных файлов через kexec
Подробнее см. kernel_lockdown(7).

Out-of-Tree модули ядра из репозитория:
На данный момент сборочница уже подписывает Out-of-Tree модули, поэтому 
в режиме lockdown они продолжат загружаться как обычно.

Q&A:
Q: Как отключить kernel_lockdown?
A: Выключить режим Secure Boot в настройках UEFI.

Q: Можно ли отключить kernel_lockdown, при этом оставив Secure Boot 
включенным?
A: Да, для этого необходимо выполнить `mokutil --disable-validation` в 
терминале от root-пользователя и следовать дальнейшим инструкциям.

Q: Перестала работать гибернация/сон, что делать?
A: Нужно отключить kernel_lockdown, как описано выше.

Q: Как загрузить свой (сторонний) модуль ядра?
A: Либо создать собственный ключ для подписи, зарегистрировать его в 
UEFI MOK[1] и подписать им модуль; либо отключить проверку подписи 
модулей (см. выше) и загрузить как обычно.

[1] https://blogs.oracle.com/linux/the-machine-keyring
-- 
Egor Ignatov
ALT Linux Team