https://www.linux-magazine.com/Issues/2 ... (offset)/3
If the kernel is running in integrity mode, loading unsigned modules is prohibited.
Je te laisse lire ceci :
https://wiki.archlinux.org/title/Signed_kernel_modules
Mais en gros cela nécessite de recompiler et signer ton kernel avec des clés à toi. Ainsi tu pourras signer des modules externes dkms. Cela peut être assez lourd à faire correctement. Les scripts d’automatisation que l'on peut trouver est une énorme faille de sécurité, en effet les clés sont laissées en libre accès à l'utilisateur root. Et c'est bien le but de toute cette sécurité, éviter que root puisse insérer un module dans le kernel. Donc la clé privé devrait être chiffré avec une passphrase que toi seul possède...
Une autre méthode est de faire un "patch" pour inclure directement le driver en built-in dans le kernel, comme ceci quand il sera compilé, cela sera fait avec la clé automatiquement générée par le kernel. Mais encore si on n'a pas confiance en root, est-ce que l'on a confiance à l'utilisateur qui va compiler les sources du kernel ??
Dans ton cas, as tu activé le secure boot, et signé toute la chaine de boot ? Car si ce n'est pas le cas, tout ce que tu as fait ne sert pas à grand chose. Cela aide mais ce n'est pas extraordinaire...
La sécurité c'est bien, mais le faire proprement et correctement c'est difficile et très lourd !!!
Pour les options :
- TMP, je ne connais pas, tu veux parler de TPM ? C'est un composant de sécurité afin de faire un démarrage totalement sécurisé. Windows l'utilise (devenu obligatoire pour Windows 11).
- VT-d c'est pour de la Virtualisation, tout dépend si tu utilises qemu / VirtualBox, ...
- Software Guard Extensions (SGX) : Comme pour le TPM, c'est un composant de sécurité, que le kernel peut utiliser. Après je ne sais pas s'il est utilisé sous Arch Linux