私は最近、RTX3050を搭載したノートブックからArchとFedoraを安全に起動しました。
ご存知のように、カーネルがロードするには、FedoraでNvidiaモジュールに署名する必要があります。しかし、私はこれがアーチのケースではないことを発見しました。 Archは署名されていない場合でもNvidiaモジュールをロードします。もちろんカーネルとGRUBが署名された場合です。
ちょっとした調査の最後に見つかりました。この投稿module.sig_enforce=1
署名検証を強制するカーネルパラメータはArchWikiに記載されています。しかし、Fedora ドキュメントのこのトピック、SecureBootが有効になっている場合、上記のカーネルパラメータには違いはありません。
これカーネル文書CONFIG_MODULE_SIG_FORCE
カーネル構成のオプションを参照してください。だから私はFedoraとArchの構成を見てみました。
本当に、アーチこのオプションは設定されていません。しかし、そうではありません。Fedoraの帽子。
では、モジュール処理でこのような違いが発生するのはなぜですか?
編集:CONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOT
FedoraのMatrix Roomでチャットした後、Fedoraの設定にはオプションがありますが、Archの設定にはないことがわかりました。ただし、これに関連する文書が見つかりません。docs.kernel.org;参考用にのみ使用ここ。すべてのカーネル設定オプションを文書化した他のサイトはありますか?
答え1
あなたが見つけたように、これは強制されますCONFIG_LOCK_DOWN_IN_EFI_SECURE_BOOT
。この設定はサポートされていますカーネルパッチまだ上流にマージされていません。 Fedora と RHEL カーネルでは見つかりますが、Arch では見つかりません。
まだアップストリームにマージされていないため、アップストリームカーネルドキュメントやアップストリームカーネルを説明する他のサイトにはありません。