Thunderbolt

新しいバージョンの Linux カーネルでは特に設定をしなくても Thunderbolt 3 が動作します [1]。バージョン 4.13 から Linux カーネルは Thunderbolt Security もサポートしています。

ファームウェアのアップデートの取得

Thunderbolt 端子とデバイスを正しく動作させるためのファームウェアアップデートがメーカーによって頻繁に公開されています。詳しくは https://thunderbolttechnology.net/updates を見てください。

ユーザーデバイス認証

新しい Thunderbolt デバイスはセキュリティモードを実装しており、デバイスの接続時にユーザー認証を必要とします。悪意のあるデバイスが DMA 攻撃 を実行したりハードウェアに干渉するのを防ぐための機能です (Thunderstrike 2 を参照)。

Linux では現在以下のモードがサポートされています:

• none - セキュリティなし、デフォルトで全てのデバイスが接続・初期化されます。
• user - デバイスが接続されるたびにユーザー認証が必要です。
• secure - ユーザー認証が必要ですが、一度認証するとデバイスが記憶されその後は認証が不要となります。
• dponly - DisplayPort のみ許可され、他のデバイスは許可されません。

セキュリティレベルは基本的にファームウェアで設定します。secure 以上に設定することが推奨されています。

グラフィカルフロントエンド

GNOME はバージョン 3.30 から UI でデバイスを認証できるようになっています。Plasma の統合はまだ開発中です ([2], [3])。

自動的に全てのデバイスを接続

手動で設定せずに全てのデバイスに接続したい場合、以下のような 99-removable.rules udev ルールを作成してください:

/etc/udev/rules.d/99-removable.rules

ACTION=="add", SUBSYSTEM=="thunderbolt", ATTR{authorized}=="0", ATTR{authorized}="1"

参照

• Linux カーネルの Thunderbolt に関するユーザー・管理者ガイド
• bolt の GitHub ページ
• Introducing bolt: Thunderbolt 3 security levels for GNU/Linux
• Tunderbolt Support in GNOME
• tbtadm