[devel] порубка firmware-linux
Alexey Sheplyakov
asheplyakov на basealt.ru
Чт Апр 29 12:13:19 MSK 2021
Добрый день!
On 27.04.2021 14:36, Anton V. Boyarshinov wrote:
>
>> >> И всё-таки, почему бы не пожать модули ядра и firmware? В zstd.
>> >>
>> >> И хорошо бы при этом перейти на zstd для сжатия initrd.
>> >>
>> >> https://www.phoronix.com/scan.php?page=news_item&px=Zstd-V8-For-Linux-Kernel-Comp
>> >>
>>
>> > Потому что не будет работать подписывание модулей ядра для целостности.
>>
>> Будет, если не жать врукопашную, как это было у нас, а использовать
>> инфраструктуру сборки ядра.
>
> Денис, если я правильно понимаю, имеет в виду другое подписывание:
> IMA/EVM
Не очень понятно, почему ради какой-то сомнительной ерунды, которую используют
0 человек, нужно отключать что-то полезное и нужное (например сжатые модули)?
Может, лучше собрать отдельное ядро с этими SELinux, IMA, и прочими НЕНУЖНО,
и не мучить нормальных людей?
https://www.altlinux.org/IMA_EVM
> Запустить инициализацию системы контроля целостности:
> /usr/bin/integrity-applier
> Необходимо дождаться завершения работы команды (система будет перезагружена четыре раза)
> Выполнение этой команды может занять довольно продолжительное время (подписываются все файлы системы).
За это время можно не только напиться и протрезветь, но и состариться.
Подробная информация о списке рассылки Devel