SBが有効になっているがArchが有効になっていない場合、Fedoraが 'module.sig_enforce'カーネルパラメータを無視するのはなぜですか?

SBが有効になっているがArchが有効になっていない場合、Fedoraが 'module.sig_enforce'カーネルパラメータを無視するのはなぜですか?

私は最近、RTX3050を搭載したノートブックからArchとFedoraを安全に起動しました。

ご存知のように、カーネルがロードするには、FedoraでNvidiaモジュールに署名する必要があります。しかし、私はこれがアーチのケースではないことを発見しました。 Archは署名されていない場合でもNvidiaモジュールをロードします。もちろんカーネルとGRUBが署名された場合です。

ちょっとした調査の最後に見つかりました。この投稿module.sig_enforce=1署名検証を強制するカーネルパラメータはArchWikiに記載されています。しかし、Fedora ドキュメントのこのトピック、SecureBootが有効になっている場合、上記のカーネルパラメータには違いはありません。

付属のFedoraドキュメントリンクの表3

これカーネル文書CONFIG_MODULE_SIG_FORCEカーネル構成のオプションを参照してください。だから私はFedoraとArchの構成を見てみました。

本当に、アーチこのオプションは設定されていません。しかし、そうではありません。Fedoraの帽子

では、モジュール処理でこのような違いが発生するのはなぜですか?

編集:CONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOTFedoraのMatrix Roomでチャットした後、Fedoraの設定にはオプションがありますが、Archの設定にはないことがわかりました。ただし、これに関連する文書が見つかりません。docs.kernel.org;参考用にのみ使用ここ。すべてのカーネル設定オプションを文書化した他のサイトはありますか?

答え1

あなたが見つけたように、これは強制されますCONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOT。この設定はサポートされていますカーネルパッチまだ上流にマージされていません。 Fedora と RHEL カーネルでは見つかりますが、Arch では見つかりません。

まだアップストリームにマージされていないため、アップストリームカーネルドキュメントやアップストリームカーネルを説明する他のサイトにはありません。

関連情報