Linux内核模块在安全启动模式下的签名和安装

时间  2019-11-18
标签 linux 内核 模块 安全 启动 模式 签名 安装 栏目 Linux 繁體版
原文   原文链接

在安全启动模式下,是不能加载未签名或由未注册的密钥签名的内核模块的,因此本文介绍了如何签名内核模块,并安装到Linux内核中。node

本文参考了itpropmn07的回答的第一步和第二步。linux

以RTL8821CE驱动为例,在获得8821ce.ko后,按照下面的命令生成私钥和公钥。wifi.key是私钥文件的名称,wifi.der是公钥文件的名称,wifi drivers是证书通常名称(CN)。shell

openssl req -new -x509 -newkey rsa:2048 -keyout wifi.key -outform DER -out wifi.der -nodes -days 36500 -subj "/CN=wifi drivers"

使用如下命令把公钥导入到MOK证书列表内,命令执行时会要求你输入两次密码(重启后要验证这个密码),以后重启电脑。在进入系统前会出现蓝色界面,按照这个连接里图片所示步骤操做。ubuntu

sudo mokutil --import ./wifi.der

成功导入公钥后,执行如下命令,检查证书是否成功导入。若导入成功,则会在输出结果中找到Issuer: CN=wifi drivers字样。安全

mokutil --list-enrolled

给模块签名,参数列表中,私钥在前,公钥在后。app

/usr/src/linux-headers-5.0.0-20-generic/scripts/sign-file sha256 wifi.key wifi.der 8821ce.ko

用如下命令检查签名是否成功。输出结果中出现这样的字符 Moudle signature appended,表示签名成功。code

hexdump -C 8821ce.o | tail
#......
003c14d0  00 02 00 00 00 00 00 00  00 01 87 7e 4d 6f 64 75  |...........~Modu|
003c14e0  6c 65 20 73 69 67 6e 61  74 75 72 65 20 61 70 70  |le signature app|
003c14f0  65 6e 64 65 64 7e 0a                              |ended~.|
003c14f7

最后就是安装和加载模块了。orm

sudo make install
sudo modprobe -a 8821ce

有输出表示加载成功。图片

lsmod | grep 8821ce

参考连接:ip

https://askubuntu.com/questions/1023036/how-to-install-nvidia-driver-with-secure-boot-enabled/1049479#1049479

https://sourceware.org/systemtap/wiki/SecureBoot

https://www.jianshu.com/p/215eee5dbb05

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程