tom/kernel_dell_tom
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

UPD Reset memory attack mitigation

Browse Source
This commit is contained in:
Thomas Kuschel
2024-02-02 02:54:39 +01:00
parent d382d4d468
commit 6c8e32cc3f
2 changed files with 78 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

BIN
documentation/linux_configuration.pdf
View File

Binary file not shown.

78
documentation/linux_configuration.tex
View File

@@ -10492,6 +10492,84 @@ Sagen Sie hier Y, um die Verwendung von \texttt{efivars} als Backend für
Konsolenmeldungen, Crash"=Dumps oder anderen von pstore unterstützten Daten Konsolenmeldungen, Crash"=Dumps oder anderen von pstore unterstützten Daten
in EFI"=Variablen. in EFI"=Variablen.
\subparagraph{Disable using efivars as a pstore backend by default}$~$\\
CONFIG\_EFI\_VARS\_PSTORE\_DEFAULT\_DISABLE [=y] \textbf{[Y]}\\*
Wenn Sie hier Y angeben, wird die Verwendung von efivars als Speicher-Backend für
pstore standardmäßig deaktiviert. Diese Einstellung kann mit dem Parameter
\texttt{pstore\_disable} des \texttt{efivars}-Moduls außer Kraft gesetzt werden.
\paragraph{Reserve EFI Specific Purpose Memory}$~$\\
CONFIG\_EFI\_SOFT\_RESERVE [=y] \textbf{[Y]}\\*
Auf Systemen mit gemischten Leistungsklassen des Speichers kann EFI mit einem Attribut
einen bestimmten Zweck des Speichers angeben (siehe EFI\_MEMORY\_SP in UEFI~2.8).
Ein mit diesem Attribut gekennzeichneter Speicherbereich kann im Vergleich zum allgemeinen
\glqq System"=RAM\grqq{}"=Pool des Systems einzigartige Leistungsmerkmale aufweisen. In der Erwartung,
dass ein solcher Speicher anwendungsspezifisch genutzt wird und sein EFI"=Basistyp
\glqq konventionell\grqq{} ist, antwortet Y, damit der Kernel ihn als
\glqq Soft Reserved\grqq{}-Ressource reserviert und standardmäßig für den Direktzugriff
(device-dax) reserviert. Der Speicherbereich kann später optional dem Page Allocator durch
die Systemadministrator"=Policy über die device"=dax kmem"=Funktion zugewiesen werden.
Sagen Sie N, damit der Kernel diesen Speicher standardmäßig als \glqq System-RAM\grqq{}
behandelt.\\
Wenn Sie unsicher sind, sagen Sie Y.
\paragraph{Adjust memory attributes in EFISTUB}$~$\\
CONFIG\_EFI\_DXE\_MEM\_ATTRIBUTES [=y] \textbf{[Y]}\\*
Die UEFI-Spezifikation garantiert nicht, dass der gesamte Speicher sowohl zum Schreiben
als auch zum Ausführen zugänglich ist, wie es der Kernel erwartet.\\
Verwenden Sie DXE-Dienste, um Speicherschutzattribute während des Bootens über EFISTUB
zu prüfen und zu ändern, um sicherzustellen, dass die vom Kernel verwendeten
Speicherbereiche beschreibbar und ausführbar sind.
\paragraph{EFI Bootloader Control}$~$\\
CONFIG\_EFI\_BOOTLOADER\_CONTROL [=m] \textbf{[M]}\\*
Dieses Modul installiert einen Reboot-Hook, so dass, wenn reboot() mit einem
String-Argument NNN aufgerufen wird, \glqq NNN\grqq{} in die EFI"=Variable
\glqq LoaderEntryOneShot\grqq{} kopiert wird, um vom Bootloader gelesen zu werden.\\
Wenn die Zeichenkette mit einem der in seiner Konfiguration definierten Boot-Labels
übereinstimmt, bootet der Bootloader einmal mit diesem Label.
Die EFI"=Variable
\glqq LoaderEntryRebootReason\grqq{} wird mit dem Reboot"=Grund gesetzt:
\glqq reboot\grqq{} oder \glqq shutdown\grqq{}. Der Bootloader liest diesen
Reboot"=Grund ein und ergreift bestimmte Maßnahmen entsprechend seiner Richtlinie.
\paragraph{EFI capsule loader}$~$\\
CONFIG\_EFI\_CAPSULE\_LOADER [=m] \textbf{[M]}\\*
Diese Option stellt eine Laderschnittstelle \texttt{/dev/efi\_capsule\_loader} zur Verfügung,
über die Benutzer EFI"=Kapseln laden können. Dieser Treiber erfordert eine funktionierende
Runtime"=Kapselunterstützung in der Firmware, die viele OEMs nicht bieten.\\
Die meisten Benutzer sollten N sagen.
\paragraph{EFI Runtime Service Tests Support}$~$\\
CONFIG\_EFI\_TEST [=n] \textbf{[~]}\\*
Dieser Treiber verwendet die \texttt{efi.$<$service$>$}"=Funktionszeiger direkt, anstatt über die
efivar"=API zu gehen, da er nicht versucht, das Kernel"=Subsystem zu testen, sondern nur
die UEFI"=Laufzeitdienstschnittstellen, die von der Firmware bereitgestellt werden.
Dieser Treiber wird von der Firmware Test Suite (FWTS) zum Testen der
UEFI"=Laufzeitschnittstellen der Firmware verwendet.
Details zur FWTS sind verfügbar unter:
\url{https://wiki.ubuntu.com/FirmwareTestSuite}
Sagen Sie hier Y, um die Unterstützung der Laufzeitdienste über \texttt{/dev/efi\_test}
zu aktivieren.
Wenn Sie unsicher sind, sagen Sie N.
\paragraph{Apple Device Properties}$~$\\
CONFIG\_APPLE\_PROPERTIES [=y] \textbf{[Y]}\\*
Rufen Sie Eigenschaften von EFI auf Apple Macs ab und weisen Sie sie Geräten zu, was eine
verbesserte Unterstützung von Apple"=Hardware ermöglicht. Zu den Eigenschaften, die sonst
fehlen würden, gehören das Thunderbolt"=Geräte"=ROM und die GPU"=Konfigurationsdaten.
Wenn Sie unsicher sind, sagen Sie Y, wenn Sie einen Mac haben. Andernfalls N.
\paragraph{Reset memory attack mitigation}$~$\\
CONFIG\_RESET\_ATTACK\_MITIGATION [=n] \textbf{[~]}\\*
Verlangen Sie, dass die Firmware den Inhalt des RAM nach einem Neustart unter Verwendung
der TCG Platform Reset Attack Mitigation Spezifikation löscht. Dies schützt davor, dass ein
Angreifer das System gewaltsam neu startet, während es noch Geheimnisse im RAM enthält, ein
anderes Betriebssystem startet und die Geheimnisse extrahiert. Diese Funktion sollte nur
aktiviert werden, wenn Userland so konfiguriert ist, dass das MemoryOverwriteRequest"=Flag
beim sauberen Herunterfahren gelöscht wird, nachdem die Geheimnisse entfernt wurden, da sie
sonst auch bei sauberen Neustarts ausgelöst wird.
\end{document} \end{document}
\texorpdfstring{$\rightarrow$}{->} \texorpdfstring{$\rightarrow$}{->}