現在の設定は、HP Probook G10でWindows-11(マイタスクに必要)とUbuntu 21.10をダブルブートすることです。 Win-11を実行するにはセキュアブートが必要なので、Linuxでは休止状態なしでこれを行う必要があります(本当に難しいです)。
すべてのプリビルドカーネルでセキュアブートが有効になっていると、現在休止状態が正式に無効になることに気づきました。私はここの安全に感謝し、閉鎖決定の性質を理解しています。しかし、警告的なセキュリティリスクが発生しても、休止状態とセキュリティブートが共存するようにカーネルコンパイル設定オプションまたはパッチでこの設定を軽減する「公式非公式」方法はありますか?
私はWin-11とLinuxをブートしながら私に提起される一連のリスクを手に入れたいだけです。
可能ですか?
答え1
ロックLSMモジュールは休止状態を無効にするために使用され、というカーネルコンパイルフラグがあり、CONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOTこれをnoに設定すると、EFIセキュアブートでロックは有効になりません。
答え2
以下は、私がすばやく作成し、常に使用するパッチです。
https://gist.github.com/kelvie/917d456cb572325aae8e3bd94a9c1350
ほぼ同じ設定でフレームノートブックを設定しているときにもこの問題が発生しました。
lockdown_hibernate暗号化されたスワップ(および暗号化されたRAMを有効にする)があるため、このパッチを使用すると、カーネルパラメータを追加してロック中に休止状態を有効にする前にリスクを理解する必要があります。
ロックを完全に無効にするよりも、この方法の利点は、ロックモードで提供される他のほとんどの保護機能をまだ入手できることです。しかし、誰かが破損したスワップからカーネルをロードできる場合は、議論の余地があります。
答え3
休止状態が完全に無効になったという仮定は間違っています。 LUKS暗号化されたスワップまたはディスクが必要です。
UEFIセキュアブートでLinuxの休止状態を有効にし、選択した現在のディストリビューション(またはメインラインカーネル)からカーネルをロックする方法は?