[d-kernel] [PATCH 0/6] [7.0, 7.1] Lock down the kernel if booted in Secure Boot mode
Egor Ignatov
egori на altlinux.org
Ср Май 6 20:37:16 MSK 2026
Данный набор патчей включает механизм kernel lockdown при загрузке
системы в режиме Secure Boot. При обнаружении активного Secure Boot
ядро автоматически переводится в режим lockdown.
В основу серии положен изначальный патчсет "security, efi: Add kernel
lockdown" за авторством David Howells. Использованы более актуальные
варианты соответствующих патчей, поддерживаемые в ядрах Fedora и Debian.
Серия предназначена для веток 7.0 и 7.1.
Ben Hutchings (1):
mtd: phram,slram: Disable when the kernel is locked down
David Howells (2):
efi: Add an EFI_SECURE_BOOT flag to indicate secure boot mode
efi: Lock down the kernel if booted in secure boot mode
Egor Ignatov (1):
config: Enable LOCK_DOWN_IN_EFI_SECURE_BOOT
Jeremy Cline (1):
security: lockdown: expose security_lock_kernel_down function
Linn Crosetto (1):
efi: determine and pass Secure Boot state via FDT
arch/x86/kernel/setup.c | 16 ++----------
config | 1 +
drivers/firmware/efi/Makefile | 1 +
drivers/firmware/efi/efi-init.c | 5 +++-
drivers/firmware/efi/fdtparams.c | 12 ++++++++-
drivers/firmware/efi/libstub/fdt.c | 6 +++++
drivers/firmware/efi/secureboot.c | 42 ++++++++++++++++++++++++++++++
drivers/mtd/devices/phram.c | 6 ++++-
drivers/mtd/devices/slram.c | 9 ++++++-
include/linux/efi.h | 22 ++++++++++------
include/linux/security.h | 9 +++++++
security/lockdown/Kconfig | 15 +++++++++++
security/lockdown/lockdown.c | 11 ++++++++
13 files changed, 129 insertions(+), 26 deletions(-)
create mode 100644 drivers/firmware/efi/secureboot.c
--
2.50.1
Подробная информация о списке рассылки devel-kernel