あーーー、つかれた
最近、割と忙しいのだけれど、比較的楽しいのでそんなに忙しいという感じがしない、多分良くない
UEFI/SecureBoot/KeyManagement/KeyGeneration - Ubuntu Wiki
https://wiki.ubuntu.com/UEFI/SecureBoot/KeyManagement/KeyGeneration
@kanade_lab あれー、世代が変わってオプション変わったんですかね、悪さするわけではないので、それなら別に気にしなくて良いと思います!
@kanade_lab BitLockerみたいなソフトウェアの暗号化で別に事足りてたなって……
PKの登録がどうやってもうまく行かない場合、セキュアブート通すならDebianとかの署名済みチェインローダーを通すことになるんだけど、あれってセキュリティ的にどんなもんなんだろね
UEFI Secure Boot | James Bottomley's random Pages
https://blog.hansenpartnership.com/uefi-secure-boot/
コメントで似たような話が幾つか上がってる
うん、既にデフォルトの鍵が登録されている状態で自前の鍵を突っ込もうとした時と同じエラーコードになる
これ、PKが空の状態で自身で署名したPKの署名検証にコケてるんじゃないかという気がしてきた
ちなみに作った鍵自体は試しに母艦に登録してみたらちゃんと通ったので、全く駄目というわけではなさげ
っていうことがあって気分転換でしゃわってたんだけど、KeyToolでデフォルトのPK見てみれば何か分かるのではということに気付いた
あとはLCDファームウェアとMEファームウェアだけど、こいつらはドライバ入れないと上手くいかなそうなので帰ってから
EFIファームウェアはUSBに書かれたISOを認識してるけど、Windowsインストーラは認識していないって感じ
もー、これ以上古いファームウェア起因でコケるのも嫌だし、一度Windowsに入れ換えて一通り更新しちゃおうかしら
でも、初期化処理弄って起動不能になることを考えると、多分TPMの方から進めた方が良いんだろうな
ビルドしてる水準だとAlderLake以降のCPUの使い方が下手なせいか、電池がモリモリ減る
> 日本の一部では「レモンミーム」、英語圏では後述するCeno氏の投稿内容から「Thour」などと呼ばれている
レモンを舐めて顔全体が*になる絵とは (レモンヲナメテカオゼンタイガギュッテナルエとは) [単語記事] - ニコニコ大百科
https://dic.nicovideo.jp/t/a/%E3%83%AC%E3%83%A2%E3%83%B3%E3%82%92%E8%88%90%E3%82%81%E3%81%A6%E9%A1%94%E5%85%A8%E4%BD%93%E3%81%8C%2A%E3%81%AB%E3%81%AA%E3%82%8B%E7%B5%B5
の投稿
3kanano4ma@misskey.io
このアカウントは、notestockで公開設定になっていません。
んー、コンフリクトするパッケージとして扱えば良いか、複数バージョンのTPMを使うケースはそんなにないはずだし
The ultimate guide to Full Disk Encryption with TPM and Secure Boot (with hibernation support!)
https://blastrock.github.io/fde-tpm-sb.html
まあ、そもそもPCRをどうやってキーファイルにするのかが分かってないから、それを調べないとなんだけど
LUKSKEYパラメーターを拡張してTPMからキーファイルを読み取るようにすれば良い気がしてきた
インストールするノートはメモリ直付けで増設不可なので、スワップ領域が増減することもまあないし
そうしたら、無理してbtrfs内にスワップファイル作らなくても、ハイバネ用のスワップ領域を別パーティションで作れば良さげね
スワップ領域を別パーティションに分ける方法もあるけど、別で暗号化が必要になるし、そうなるとアンロックが2回必要になって使い勝手が悪い
Slackwareだとハイバネーションからの復帰はブロックデバイスからしかできないから、その点でもbtrfsとの相性が微妙いことが分かった
# mount /home
mount: /home: /dev/sda2 already mounted or mount point busy.
Mounting non-root local filesystems:
mount: /home: /dev/sda2 already mounted or mount point busy.
mount: /var: /dev/sda2 already mounted or mount point busy.
mount: /var/tmp: mount point does not exist.
んん……?
このアカウントは、notestockで公開設定になっていません。
cmdlineでrootflagsを渡せばinitrd内でのマウント時にもマウントオプションが指定できるっぽいな
で、案の定インストーラーはサブボリュームを認識してくれないので、この辺りは手動でなんとかする必要がある
サブボリューム自体初めて作ったけど、雰囲気ディレクトリっぽいけど、名前は先頭にアットマークをつけるのがデファクトスタンダードっぽい
一応、バックエンドのWebアプリやサービスはそれぞれ別のユーザーで動いているので、分離はされている
nginxの設定ファイルから自動でドメイン情報引っ張ってくるみたいな統合がされてると尚良し
Caddyが証明書更新をWebサーバーに組み込むことを考えると、nginxとcronを同居させて証明書を自動更新するのもアリな気はしてきた
Caddy - The Ultimate Server with Automatic HTTPS
https://caddyserver.com/
nginxに拘らないなら、Caddyっていうhttpサーバーが自動で証明書取得〜更新までやってくれたはず
clevis使わなくても、tpm2-toolsで直接PCR読み出せば良いのではという気もしてきた
このアカウントは、notestockで公開設定になっていません。
subvolはslackwareのinitrdだとそもそも対応してないっぽいんだけど、これはデフォルトのsubvolを設定してあげれば良さげ
再インストールでやりたいこと
btrfs採用
透過圧縮
subvol作る
fscryptで/home以下を暗号化
TPMでFDE
セキュアブート
SMBIOS情報をホストからコピーすれば、仮想マシン内でもドライバのインストールができるのは確認しているので
ドライバ入れたPE作るだけであれば、仮想マシンにドライバだけ入れれば良いのではという気がしてきた
今回の更新用にWindows入れる時にドライバとか追加機能組み込んだWindows PE作って、今後の更新はそっちでやる、っていうところかなー
今後の更新用にデュアルブート構成しても良いのだけれど、そのためだけに64GBとか食われるのが納得いかないのよねえ
BIOS → dllが足りないと言われる
PD Firmware → BIOSが古いと言われる
LCD Firmware → 対象外と言われる(多分ディスプレイドライバが入ってないせい)
ME Firmware → 起動しない
ノートPCのファームウェア更新のためにWindows入れるかと思ったのだけれど、Windows入れずともインストールディスクからWindows PE(RE?)起動すればファームウェア更新程度ならできるのではということに気付いた
充電兼用のType-C端子がひとつだけなので、充電しながらキーボード繋ぐのができないのよね
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
Ci-en、このまま放置すると支援切れるけど良いのかい?的なメールは出してくれないのかしら
FRANK/TOTE BAG https://www.yoshidakaban.com/product/102356.html
