[devel] порубка firmware-linux

Alexey Sheplyakov asheplyakov на basealt.ru
Чт Апр 29 12:13:19 MSK 2021


Добрый день!

On 27.04.2021 14:36, Anton V. Boyarshinov wrote:
> 
>>  >> И всё-таки, почему бы не пожать модули ядра и firmware? В zstd.
>>  >> 
>>  >> И хорошо бы при этом перейти на zstd для сжатия initrd.
>>  >> 
>>  >> https://www.phoronix.com/scan.php?page=news_item&px=Zstd-V8-For-Linux-Kernel-Comp
>>  >>   
>>
>>  > Потому что не будет работать подписывание модулей ядра для целостности.  
>>
>> Будет, если не жать врукопашную, как это было у нас, а использовать
>> инфраструктуру сборки ядра.
> 
> Денис, если я правильно понимаю, имеет в виду другое подписывание:
> IMA/EVM

Не очень понятно, почему ради какой-то сомнительной ерунды, которую используют
0 человек, нужно отключать что-то полезное и нужное (например сжатые модули)?

Может, лучше собрать отдельное ядро с этими SELinux, IMA, и прочими НЕНУЖНО,
и не мучить нормальных людей?

https://www.altlinux.org/IMA_EVM

> Запустить инициализацию системы контроля целостности:
> /usr/bin/integrity-applier
> Необходимо дождаться завершения работы команды (система будет перезагружена четыре раза)
> Выполнение этой команды может занять довольно продолжительное время (подписываются все файлы системы).

За это время можно не только напиться и протрезветь, но и состариться.





Подробная информация о списке рассылки Devel