カーネルロックが休止状態を防ぐのはなぜですか?

カーネルロックが休止状態を防ぐのはなぜですか?

[マイシステムログ](journalctl)に、次のメッセージが頻繁に表示されます。

休止状態は制限されています。 man kernel_lockdown.7を参照してください。

こういうことから始まったようだ。カーネルロック特徴このオプションは、セキュアブートが有効なUEFIモードで起動したときにのみ有効になります。
現在私が知る限りこの機能は、ユーザー空間で実行されるプログラムがカーネルを変更しないように設計されています。

私はこれまでこれを理解していますが、一つを理解していません。 カーネルロックがこの機能を無効にするのはなぜですか?休止状態を完全に無効にするのはなぜですか?

休止状態が無効になっている場合、「安全でない」とは何ですか?

ロックされたカーネルが私のデバイスを休止状態にしたくないようです。

Linuxカーネルv5.6.15
Fedora 32 Silverblue


クロスパブリッシュFedoraに尋ねる

答え1

で述べたようにマンページ

カーネルイメージは後でアクセスできるメディアに保存されるため、暗号化されていない休止状態/一時停止スワップは許可されません。

暗号化されていない休止状態は、休止状態システムのメモリの内容をディスク上のそのまま保存します。これにより、攻撃者はシステムがスリープ状態にある間にこれらのコンテンツを変更でき、再開時に実行中のシステムが変更されロックが解除されます。

このマンページは、ロック時に暗号化された休止状態がサポートされるという誤った希望を提供しますが、これには問題があります。現在はそうではありません。、実際の要件は兆候暗号化された画像の代わりに(またはロックモードに応じて追加で)画像を休止状態にします。

Matthew Garrettはこの問題を解決するために努力してきました。ロック状態で休止状態を起動するためのヒント2021年2月、そして更新済み2021年12月には、残っているいくつかの問題に対する実用的な解決策を提供します。一般的なアイデアは、休止状態の画像をTPM状態にリンクして、ロックされたシステムがそのシステムで生成された休止状態の画像のみを復元し、その後は変更されないようにすることです。これを行うには、TPMの状態が何であるかを知る必要があります。イメージに有効で、カーネル自体からTPM状態に達します。

答え2

休止状態では、署名されていないスワップ空間を変更したり、暗号化されていないスワップ空間から秘密を抽出してロックをバイパスしたりするのは「簡単」です。

ただし、インターネット上の多くの情報とは異なり、1つの解決策は、スワップスペースを少なくともLUKS暗号化することです。自分で経験すると、OpenSuSE Leap 15.4のようなシステムでこれが可能ですが、文書化はうまくいきません。 Full HD LUKS暗号化は、ロック状態で休止状態を可能にすることもできます。

おすすめの本:

背景:

マルチカーネルメッセージ

"lockdown:swapper / 0:休止状態が制限されました。man kernel_lockdown.7を参照してください。"

UEFI セキュアブートの休止状態が壊れていることを示します。インターネットで解決策を検索すると、印象が裏付けられます。この印象は間違った、しかし。表現には「制限」(「無効」の代わりに)が使用されます。これは、規制に準拠した休止状態を実行する方法があるというヒントです。

SuSEは、約2017年からkernel_lockdownをサポートする署名付きカーネル/メモリイメージパッチを開発したことがわかりました。 2011年。ロック状態の休止状態は Leap 15.4 以降から動作します。他のディストリビューションがセーフブート時に休止状態に関連しているかどうかはわかりません。

この情報は、他の人が特定の展開の状況をさらに調査するのに役立つことを願っています。

関連情報