[マイシステムログ](journalctl)に、次のメッセージが頻繁に表示されます。
休止状態は制限されています。 man kernel_lockdown.7を参照してください。
こういうことから始まったようだ。カーネルロック特徴このオプションは、セキュアブートが有効なUEFIモードで起動したときにのみ有効になります。
現在私が知る限りこの機能は、ユーザー空間で実行されるプログラムがカーネルを変更しないように設計されています。
私はこれまでこれを理解していますが、一つを理解していません。 カーネルロックがこの機能を無効にするのはなぜですか?休止状態を完全に無効にするのはなぜですか?
休止状態が無効になっている場合、「安全でない」とは何ですか?
ロックされたカーネルが私のデバイスを休止状態にしたくないようです。
Linuxカーネルv5.6.15
Fedora 32 Silverblue
クロスパブリッシュFedoraに尋ねる。
ベストアンサー1
で述べたようにマンページ、
カーネルイメージは後でアクセスできるメディアに保存されるため、暗号化されていない休止状態/一時停止スワップは許可されません。
暗号化されていない休止状態は、休止状態システムのメモリの内容をディスク上のそのまま保存します。これにより、攻撃者はシステムがスリープ状態にある間にこれらのコンテンツを変更でき、再開時に実行中のシステムが変更されロックが解除されます。
このマンページは、ロック時に暗号化された休止状態がサポートされるという誤った希望を提供しますが、これには問題があります。現在はそうではありません。、実際の要件は兆候暗号化された画像の代わりに(またはロックモードに応じて追加で)画像を休止状態にします。
Matthew Garrettはこの問題を解決するために努力してきました。ロック状態で休止状態を起動するためのヒント2021年2月、そして更新済み2021年12月には、残っているいくつかの問題に対する実用的な解決策を提供します。一般的なアイデアは、休止状態の画像をTPM状態にリンクして、ロックされたシステムがそのシステムで生成された休止状態の画像のみを復元し、その後は変更されないようにすることです。これを行うには、TPMの状態が何であるかを知る必要があります。イメージに有効で、カーネル自体からTPM状態に達します。