]> git.ipfire.org Git - thirdparty/systemd.git/commit
vmspawn: allow opt-in Secure Boot firmware for coco 42876/head
authorPaul Meyer <katexochen0@gmail.com>
Fri, 3 Jul 2026 13:52:10 +0000 (15:52 +0200)
committerPaul Meyer <katexochen0@gmail.com>
Mon, 6 Jul 2026 09:04:11 +0000 (11:04 +0200)
commit6f2f5b96f116f4bea31b86f85288c4cb83429d5a
treea2e1843887e4ce7dfa0da4374e16d5bbdf17b1a2
parent2f95c17a2f3f3e564b3bfca31e7f2c035417cc00
vmspawn: allow opt-in Secure Boot firmware for coco

CoCo firmware is stateless, so Secure Boot keys cannot be enrolled at
runtime: it only enforces Secure Boot with keys baked in at build time,
refusing unsigned images from the first boot. The default exclusion of
the enrolled-keys firmware feature hence keeps unsigned images bootable,
but it also makes firmware discovery fail on distros that only ship
SNP/TDX firmware with pre-enrolled keys (e.g. Fedora's TDVF). Drop the
rejection of --secure-boot=yes with --coco= and instead treat it as an
opt-in to such firmware, by lifting the enrolled-keys exclusion.

While at it, reject --efi-nvram-template= and an explicit
--efi-nvram-state= path with --coco=, which were silently ignored, as
stateless firmware has no NVRAM to instantiate or persist.

Signed-off-by: Paul Meyer <katexochen0@gmail.com>
man/systemd-vmspawn.xml
src/vmspawn/vmspawn.c