[erledigt] Kernelmeldung - CONFIG_IMA_DISABLE_HTABLE is disabled

[OrangeJuice]

Ich habe hier eine Kernelmeldung mit der ich nichts anfangen kann. Weiß jemand, was sie bedeutet?

Code: Alles auswählen

kern  :warn  : [ ...] device-mapper: core: CONFIG_IMA_DISABLE_HTABLE is disabled. Duplicate IMA measurements will not be recorded in the IMA log

[Blackbox]

Welcher Kernel wäre noch interessant?

[OrangeJuice]

Code: Alles auswählen

dpkg -l | grep linux-image
ii  linux-image-5.15.0-2-amd64            5.15.5-1                           amd64        Linux 5.15 for 64-bit PCs (signed)

Es läuft im Moment ein Debian Testing, vorher war es Bullseye, dort erschien die Meldung aber auch. Bei Fedora wird es auch angezeigt. Alle SSD sind außer /boot verschlüsselt.

[Blackbox]

Bei gleichem Kernel kann ich bei mir eine solche (oder ähnlich lautende) Meldung nicht auffinden.
Also muss es an deiner Systemkonfiguration liegen, deswegen wäre jetzt deine Hardware interessant.
Bitte die Hardware eingrenzen, die damit am wahrscheinlichsten in Zusammenhang gebracht werden kann.

[OrangeJuice]

Code: Alles auswählen

lshw -short
H/W-Pfad           Gerät          Klasse         Beschreibung
==============================================================
/0                                 bus            H470M-STX
/0/0                               memory         64KiB BIOS
/0/9                               memory         16GiB Systemspeicher
/0/9/0                             memory         8GiB SODIMM DDR4 Synchron 2667 MHz (0,4 ns)
/0/9/1                             memory         8GiB SODIMM DDR4 Synchron 2667 MHz (0,4 ns)
/0/17                              processor      Intel(R) Core(TM) i5-10400 CPU @ 2.90GHz
/0/100/2                           display        CometLake-S GT2 [UHD Graphics 630]
/0/100/1d/0                        storage        NVMe SSD Controller PM9A1/PM9A3/980PRO
/0/100/1d/0/0      /dev/nvme0      storage        Samsung SSD 980 PRO 500GB
/0/100/1f.6        eno1            network        Ethernet Connection (11) I219-V

Ein kleiner Auszug der Hardware mit lshw.

[Blackbox]

Okay, soweit wie ich diese Meldung verstanden habe, wurde d(ies)er Kernel ohne IMA Support gebaut, weswegen die Kernel Variable "CONFIG_IMA_DISABLE_HTABLE" deaktiviert wurde.
Aber ich denke, @towo kann bestimmt noch mehr zum Thema beitragen.

[towo]

https://www.kernel.org/doc/html/latest/ ... m-ima.html

[OrangeJuice]

Welche Auswirkung hat das denn auf die Systemhärtung/Sicherheit?

Ich habe schon festgestellt, dass die Kernel aus Testing oder Sid unknown Parameters bei den Bootparametern haben. Ich konnte mir das nicht so recht erklären, warum diese nicht mehr funktionieren sollen.

Mit dem Kernel aus Bullseye werden die Parameter wieder erkannt, auch die Meldung "CONFIG_IMA_DISABLE_HTABLE" ist damit weg.

Code: Alles auswählen

Unknown kernel command line parameters "security_lockdown_lsm_early lock_down_kernel_force_confidentiality...

Link dazu

Code: Alles auswählen

evm: security.SMACK64MMAP (disabled)
evm: security.SMACK64TRANSMUTE (disabled)
evm: security.SMACK64EXEC (disabled)
evm: security.SMACK64 (disabled)

[Blackbox]

Ich habe schon festgestellt, dass die Kernel aus Testing oder Sid unknown Parameters bei den Bootparametern haben. Ich konnte mir das nicht so recht erklären, warum diese nicht mehr funktionieren sollen.

Willst du mit diesem Satz andeuten, dass du Kernel aus Debian Testing und Debian Unstable in deinem Debian Stable installierst?

[OrangeJuice]

Willst du mit diesem Satz andeuten, dass du Kernel aus Debian Testing und Debian Unstable in deinem Debian Stable installierst?

Nein. Ich habe hier ein Testing. Ich hatte vorher Debian Stable.