<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Nov 10, 2020 at 4:51 PM Cyril Hrubis <<a href="mailto:chrubis@suse.cz">chrubis@suse.cz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi!<br>
> > ...<br>
> ><br>
> >  include $(top_srcdir)/include/mk/<a href="http://testcases.mk" rel="noreferrer" target="_blank">testcases.mk</a><br>
> ><br>
> > +CFLAGS                 += $(EFIVAR_CFLAGS)<br>
> > +LDLIBS                 += $(EFIVAR_LIBS)<br>
> ><br>
> <br>
> Where can we get the value of these two variables? Shouldn't we<br>
> add AC_SUBST() in the m4 file?<br>
<br>
These are exported by the PKG_CHECK_MODULES() pkgconfig autotools macro.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Good to know this.</div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> > --- a/testcases/kernel/syscalls/ioperm/ioperm02.c<br>
> > +++ b/testcases/kernel/syscalls/ioperm/ioperm02.c<br>
> > @@ -22,6 +22,7 @@<br>
> >  #include <pwd.h><br>
> >  #include "tst_test.h"<br>
> >  #include "tst_safe_macros.h"<br>
> > +#include "tst_secureboot.h"<br>
> ><br>
> >  #if defined __i386__ || defined(__x86_64__)<br>
> >  #include <sys/io.h><br>
> > @@ -45,6 +46,10 @@ static struct tcase_t {<br>
> ><br>
> >  static void setup(void)<br>
> >  {<br>
> > +       /* ioperm() is restricted under kernel lockdown. */<br>
> > +       if (tst_lockdown_enabled() || tst_secureboot_enabled() > 0)<br>
> > +               tst_brk(TCONF, "Kernel is locked down, skip this test");<br>
> ><br>
> <br>
> The ioperm02 is an error test for ioperm(), it doesn't matter without the<br>
> lockdown/secure-boot status. Better to remove this from setup().<br>
> <br>
> iopl02 as well.<br>
<br>
Actually I think that this is correct, since there is no imposed order<br>
on the checks in kernel, so we may not get the errors we expect to get.<br>
<br>
<br>
What we are actually missing are tests that iopl() and ioperm() does<br>
fail with EPERM when either of lockdown or secureboot are enabled.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I remember they(ioperm02, iopl02) works well with secure-boot enabled/disabled.</div><div class="gmail_default" style="font-size:small">(I did that test when reviewing Erico's tst_lockdown.c patch) <br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Okay, but I agree that it's safer to add this check because it may change in the newer kernel someday.</div></div></div><div><br></div><div><div class="gmail_default" style="font-size:small">Feel free to add:</div><div class="gmail_default" style="font-size:small">Reviewed-by: Li Wang <<a href="mailto:liwang@redhat.com">liwang@redhat.com</a>></div></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Regards,<br></div><div>Li Wang<br></div></div></div></div>