diff --git a/documentation/linux_configuration.pdf b/documentation/linux_configuration.pdf index 7ff04be..c9db22c 100644 Binary files a/documentation/linux_configuration.pdf and b/documentation/linux_configuration.pdf differ diff --git a/documentation/linux_configuration.tex b/documentation/linux_configuration.tex index 5cd849d..fd926b7 100644 --- a/documentation/linux_configuration.tex +++ b/documentation/linux_configuration.tex @@ -10492,6 +10492,84 @@ Sagen Sie hier Y, um die Verwendung von \texttt{efivars} als Backend für Konsolenmeldungen, Crash"=Dumps oder anderen von pstore unterstützten Daten in EFI"=Variablen. +\subparagraph{Disable using efivars as a pstore backend by default}$~$\\ +CONFIG\_EFI\_VARS\_PSTORE\_DEFAULT\_DISABLE [=y] \textbf{[Y]}\\* +Wenn Sie hier Y angeben, wird die Verwendung von efivars als Speicher-Backend für +pstore standardmäßig deaktiviert. Diese Einstellung kann mit dem Parameter +\texttt{pstore\_disable} des \texttt{efivars}-Moduls außer Kraft gesetzt werden. + +\paragraph{Reserve EFI Specific Purpose Memory}$~$\\ +CONFIG\_EFI\_SOFT\_RESERVE [=y] \textbf{[Y]}\\* +Auf Systemen mit gemischten Leistungsklassen des Speichers kann EFI mit einem Attribut +einen bestimmten Zweck des Speichers angeben (siehe EFI\_MEMORY\_SP in UEFI~2.8). +Ein mit diesem Attribut gekennzeichneter Speicherbereich kann im Vergleich zum allgemeinen +\glqq System"=RAM\grqq{}"=Pool des Systems einzigartige Leistungsmerkmale aufweisen. In der Erwartung, +dass ein solcher Speicher anwendungsspezifisch genutzt wird und sein EFI"=Basistyp +\glqq konventionell\grqq{} ist, antwortet Y, damit der Kernel ihn als +\glqq Soft Reserved\grqq{}-Ressource reserviert und standardmäßig für den Direktzugriff +(device-dax) reserviert. Der Speicherbereich kann später optional dem Page Allocator durch +die Systemadministrator"=Policy über die device"=dax kmem"=Funktion zugewiesen werden. +Sagen Sie N, damit der Kernel diesen Speicher standardmäßig als \glqq System-RAM\grqq{} +behandelt.\\ +Wenn Sie unsicher sind, sagen Sie Y. + +\paragraph{Adjust memory attributes in EFISTUB}$~$\\ +CONFIG\_EFI\_DXE\_MEM\_ATTRIBUTES [=y] \textbf{[Y]}\\* +Die UEFI-Spezifikation garantiert nicht, dass der gesamte Speicher sowohl zum Schreiben +als auch zum Ausführen zugänglich ist, wie es der Kernel erwartet.\\ +Verwenden Sie DXE-Dienste, um Speicherschutzattribute während des Bootens über EFISTUB +zu prüfen und zu ändern, um sicherzustellen, dass die vom Kernel verwendeten +Speicherbereiche beschreibbar und ausführbar sind. + +\paragraph{EFI Bootloader Control}$~$\\ +CONFIG\_EFI\_BOOTLOADER\_CONTROL [=m] \textbf{[M]}\\* +Dieses Modul installiert einen Reboot-Hook, so dass, wenn reboot() mit einem +String-Argument NNN aufgerufen wird, \glqq NNN\grqq{} in die EFI"=Variable +\glqq LoaderEntryOneShot\grqq{} kopiert wird, um vom Bootloader gelesen zu werden.\\ +Wenn die Zeichenkette mit einem der in seiner Konfiguration definierten Boot-Labels +übereinstimmt, bootet der Bootloader einmal mit diesem Label. +Die EFI"=Variable +\glqq LoaderEntryRebootReason\grqq{} wird mit dem Reboot"=Grund gesetzt: +\glqq reboot\grqq{} oder \glqq shutdown\grqq{}. Der Bootloader liest diesen +Reboot"=Grund ein und ergreift bestimmte Maßnahmen entsprechend seiner Richtlinie. + +\paragraph{EFI capsule loader}$~$\\ +CONFIG\_EFI\_CAPSULE\_LOADER [=m] \textbf{[M]}\\* +Diese Option stellt eine Laderschnittstelle \texttt{/dev/efi\_capsule\_loader} zur Verfügung, +über die Benutzer EFI"=Kapseln laden können. Dieser Treiber erfordert eine funktionierende +Runtime"=Kapselunterstützung in der Firmware, die viele OEMs nicht bieten.\\ +Die meisten Benutzer sollten N sagen. + +\paragraph{EFI Runtime Service Tests Support}$~$\\ +CONFIG\_EFI\_TEST [=n] \textbf{[~]}\\* +Dieser Treiber verwendet die \texttt{efi.$<$service$>$}"=Funktionszeiger direkt, anstatt über die +efivar"=API zu gehen, da er nicht versucht, das Kernel"=Subsystem zu testen, sondern nur +die UEFI"=Laufzeitdienstschnittstellen, die von der Firmware bereitgestellt werden. +Dieser Treiber wird von der Firmware Test Suite (FWTS) zum Testen der +UEFI"=Laufzeitschnittstellen der Firmware verwendet. +Details zur FWTS sind verfügbar unter: +\url{https://wiki.ubuntu.com/FirmwareTestSuite} +Sagen Sie hier Y, um die Unterstützung der Laufzeitdienste über \texttt{/dev/efi\_test} +zu aktivieren. +Wenn Sie unsicher sind, sagen Sie N. + +\paragraph{Apple Device Properties}$~$\\ +CONFIG\_APPLE\_PROPERTIES [=y] \textbf{[Y]}\\* +Rufen Sie Eigenschaften von EFI auf Apple Macs ab und weisen Sie sie Geräten zu, was eine +verbesserte Unterstützung von Apple"=Hardware ermöglicht. Zu den Eigenschaften, die sonst +fehlen würden, gehören das Thunderbolt"=Geräte"=ROM und die GPU"=Konfigurationsdaten. +Wenn Sie unsicher sind, sagen Sie Y, wenn Sie einen Mac haben. Andernfalls N. + +\paragraph{Reset memory attack mitigation}$~$\\ +CONFIG\_RESET\_ATTACK\_MITIGATION [=n] \textbf{[~]}\\* +Verlangen Sie, dass die Firmware den Inhalt des RAM nach einem Neustart unter Verwendung +der TCG Platform Reset Attack Mitigation Spezifikation löscht. Dies schützt davor, dass ein +Angreifer das System gewaltsam neu startet, während es noch Geheimnisse im RAM enthält, ein +anderes Betriebssystem startet und die Geheimnisse extrahiert. Diese Funktion sollte nur +aktiviert werden, wenn Userland so konfiguriert ist, dass das MemoryOverwriteRequest"=Flag +beim sauberen Herunterfahren gelöscht wird, nachdem die Geheimnisse entfernt wurden, da sie +sonst auch bei sauberen Neustarts ausgelöst wird. + \end{document} \texorpdfstring{$\rightarrow$}{->}