UPD Reset memory attack mitigation
This commit is contained in:
Binary file not shown.
@@ -10492,6 +10492,84 @@ Sagen Sie hier Y, um die Verwendung von \texttt{efivars} als Backend für
|
||||
Konsolenmeldungen, Crash"=Dumps oder anderen von pstore unterstützten Daten
|
||||
in EFI"=Variablen.
|
||||
|
||||
\subparagraph{Disable using efivars as a pstore backend by default}$~$\\
|
||||
CONFIG\_EFI\_VARS\_PSTORE\_DEFAULT\_DISABLE [=y] \textbf{[Y]}\\*
|
||||
Wenn Sie hier Y angeben, wird die Verwendung von efivars als Speicher-Backend für
|
||||
pstore standardmäßig deaktiviert. Diese Einstellung kann mit dem Parameter
|
||||
\texttt{pstore\_disable} des \texttt{efivars}-Moduls außer Kraft gesetzt werden.
|
||||
|
||||
\paragraph{Reserve EFI Specific Purpose Memory}$~$\\
|
||||
CONFIG\_EFI\_SOFT\_RESERVE [=y] \textbf{[Y]}\\*
|
||||
Auf Systemen mit gemischten Leistungsklassen des Speichers kann EFI mit einem Attribut
|
||||
einen bestimmten Zweck des Speichers angeben (siehe EFI\_MEMORY\_SP in UEFI~2.8).
|
||||
Ein mit diesem Attribut gekennzeichneter Speicherbereich kann im Vergleich zum allgemeinen
|
||||
\glqq System"=RAM\grqq{}"=Pool des Systems einzigartige Leistungsmerkmale aufweisen. In der Erwartung,
|
||||
dass ein solcher Speicher anwendungsspezifisch genutzt wird und sein EFI"=Basistyp
|
||||
\glqq konventionell\grqq{} ist, antwortet Y, damit der Kernel ihn als
|
||||
\glqq Soft Reserved\grqq{}-Ressource reserviert und standardmäßig für den Direktzugriff
|
||||
(device-dax) reserviert. Der Speicherbereich kann später optional dem Page Allocator durch
|
||||
die Systemadministrator"=Policy über die device"=dax kmem"=Funktion zugewiesen werden.
|
||||
Sagen Sie N, damit der Kernel diesen Speicher standardmäßig als \glqq System-RAM\grqq{}
|
||||
behandelt.\\
|
||||
Wenn Sie unsicher sind, sagen Sie Y.
|
||||
|
||||
\paragraph{Adjust memory attributes in EFISTUB}$~$\\
|
||||
CONFIG\_EFI\_DXE\_MEM\_ATTRIBUTES [=y] \textbf{[Y]}\\*
|
||||
Die UEFI-Spezifikation garantiert nicht, dass der gesamte Speicher sowohl zum Schreiben
|
||||
als auch zum Ausführen zugänglich ist, wie es der Kernel erwartet.\\
|
||||
Verwenden Sie DXE-Dienste, um Speicherschutzattribute während des Bootens über EFISTUB
|
||||
zu prüfen und zu ändern, um sicherzustellen, dass die vom Kernel verwendeten
|
||||
Speicherbereiche beschreibbar und ausführbar sind.
|
||||
|
||||
\paragraph{EFI Bootloader Control}$~$\\
|
||||
CONFIG\_EFI\_BOOTLOADER\_CONTROL [=m] \textbf{[M]}\\*
|
||||
Dieses Modul installiert einen Reboot-Hook, so dass, wenn reboot() mit einem
|
||||
String-Argument NNN aufgerufen wird, \glqq NNN\grqq{} in die EFI"=Variable
|
||||
\glqq LoaderEntryOneShot\grqq{} kopiert wird, um vom Bootloader gelesen zu werden.\\
|
||||
Wenn die Zeichenkette mit einem der in seiner Konfiguration definierten Boot-Labels
|
||||
übereinstimmt, bootet der Bootloader einmal mit diesem Label.
|
||||
Die EFI"=Variable
|
||||
\glqq LoaderEntryRebootReason\grqq{} wird mit dem Reboot"=Grund gesetzt:
|
||||
\glqq reboot\grqq{} oder \glqq shutdown\grqq{}. Der Bootloader liest diesen
|
||||
Reboot"=Grund ein und ergreift bestimmte Maßnahmen entsprechend seiner Richtlinie.
|
||||
|
||||
\paragraph{EFI capsule loader}$~$\\
|
||||
CONFIG\_EFI\_CAPSULE\_LOADER [=m] \textbf{[M]}\\*
|
||||
Diese Option stellt eine Laderschnittstelle \texttt{/dev/efi\_capsule\_loader} zur Verfügung,
|
||||
über die Benutzer EFI"=Kapseln laden können. Dieser Treiber erfordert eine funktionierende
|
||||
Runtime"=Kapselunterstützung in der Firmware, die viele OEMs nicht bieten.\\
|
||||
Die meisten Benutzer sollten N sagen.
|
||||
|
||||
\paragraph{EFI Runtime Service Tests Support}$~$\\
|
||||
CONFIG\_EFI\_TEST [=n] \textbf{[~]}\\*
|
||||
Dieser Treiber verwendet die \texttt{efi.$<$service$>$}"=Funktionszeiger direkt, anstatt über die
|
||||
efivar"=API zu gehen, da er nicht versucht, das Kernel"=Subsystem zu testen, sondern nur
|
||||
die UEFI"=Laufzeitdienstschnittstellen, die von der Firmware bereitgestellt werden.
|
||||
Dieser Treiber wird von der Firmware Test Suite (FWTS) zum Testen der
|
||||
UEFI"=Laufzeitschnittstellen der Firmware verwendet.
|
||||
Details zur FWTS sind verfügbar unter:
|
||||
\url{https://wiki.ubuntu.com/FirmwareTestSuite}
|
||||
Sagen Sie hier Y, um die Unterstützung der Laufzeitdienste über \texttt{/dev/efi\_test}
|
||||
zu aktivieren.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\paragraph{Apple Device Properties}$~$\\
|
||||
CONFIG\_APPLE\_PROPERTIES [=y] \textbf{[Y]}\\*
|
||||
Rufen Sie Eigenschaften von EFI auf Apple Macs ab und weisen Sie sie Geräten zu, was eine
|
||||
verbesserte Unterstützung von Apple"=Hardware ermöglicht. Zu den Eigenschaften, die sonst
|
||||
fehlen würden, gehören das Thunderbolt"=Geräte"=ROM und die GPU"=Konfigurationsdaten.
|
||||
Wenn Sie unsicher sind, sagen Sie Y, wenn Sie einen Mac haben. Andernfalls N.
|
||||
|
||||
\paragraph{Reset memory attack mitigation}$~$\\
|
||||
CONFIG\_RESET\_ATTACK\_MITIGATION [=n] \textbf{[~]}\\*
|
||||
Verlangen Sie, dass die Firmware den Inhalt des RAM nach einem Neustart unter Verwendung
|
||||
der TCG Platform Reset Attack Mitigation Spezifikation löscht. Dies schützt davor, dass ein
|
||||
Angreifer das System gewaltsam neu startet, während es noch Geheimnisse im RAM enthält, ein
|
||||
anderes Betriebssystem startet und die Geheimnisse extrahiert. Diese Funktion sollte nur
|
||||
aktiviert werden, wenn Userland so konfiguriert ist, dass das MemoryOverwriteRequest"=Flag
|
||||
beim sauberen Herunterfahren gelöscht wird, nachdem die Geheimnisse entfernt wurden, da sie
|
||||
sonst auch bei sauberen Neustarts ausgelöst wird.
|
||||
|
||||
\end{document}
|
||||
|
||||
\texorpdfstring{$\rightarrow$}{->}
|
||||
|
||||
Reference in New Issue
Block a user