sol*_*iCe 48 kernel uefi secure-boot 16.04
安装16.04 时,如果我想安装3rd 方模块/驱动程序,系统要求我关闭“安全启动” 。
我没有遵守。
当我手动安装我使用的唯一 3rd 方驱动程序(bcmwl-kernel-source)时,我再次被要求(在安装包期间)关闭“安全启动”。
使用bcmwl-kernel-source在15.10 中使用安全启动完全没问题。这似乎与我的错误无关。
因此,这看起来确实像是 Ubuntu 拒绝再签署第 3 方驱动程序/模块以使其与“安全启动”一起工作(??)。或者似乎认为 3rd 方模块不安全并且破坏了“安全启动”,因此强制禁用它以使其清楚?我对吗 ?
ssi*_*ice 43
这不是错误,而是功能。
正如 Anthony Wong 所说,当您安装 DKMS 包时,您正在自己编译该包,因此 Canonical 无法为您签署模块。
但是,您绝对可以使用安全启动,但这正是安全启动试图保护您免受自己伤害的用例,因为它无法知道您是否信任某个模块。
默认情况下,您的 UEFI 机器上有一个平台密钥 (PK),它是在您的处理器中加载代码的最终受信任的证书颁发机构。
GRUB 或 shim 或其他启动机制可以由根 CA (PK) 信任的 KEK进行数字签名,因此您的计算机可以在没有任何配置的情况下启动像 Ubuntu Live USB/DVD 这样的软件。
在 Ubuntu 16.04 上,内核使用 CONFIG_MODULE_SIG_FORCE=1 构建,这意味着内核将强制模块由平台中的受信任密钥签名。考虑到 UEFI 平台默认包含一个您无法控制的 PK,因此您无法使用您自己的机器识别的密钥对二进制文件进行签名。
有些人对此进行抨击和咆哮,但实际上没有比自己注册您想要的新密钥更好的方法(从安全角度来看)。
如果您的引导系统使用 shim,您可以使用称为 Machine Owner's Key 数据库的东西,并将您的密钥注册为MOK(您可以使用 mokutil 做到这一点)。如果不这样做,您还可以在 UEFI 数据库中注册您的密钥作为签名密钥。
注册密钥后,您可以使用MOK 对 DKMS 构建的软件包进行签名(在 处应该有一个 perl 脚本/usr/src/kernels/$(uname -r)/scripts/sign-file),签名后,您可以将其加载到内核中。
当然,有人应该对此做出更多的视觉说明,甚至可能制定一个向导或更好的 DKMS 标准以允许考虑密钥,但这就是我们目前所拥有的。
你可以参考这个关于如何签署你自己的内核模块的解释:https : //askubuntu.com/a/768310/12049
Ant*_*ong 20
简而言之,这不是错误,而是 16.04 中引入的新变化。
因为你安装的是 dkms 包。DKMS 模块是在您自己的机器上编译的,因此 Canonical 无法为您签署模块。如果 Canonical 无法对其进行签名,则无法对其进行数字验证。如果您打开了安全启动,那将意味着您的模块无法使用,为了使用它,您必须关闭安全启动,这就是为什么您会被问到这个问题。
对于为什么它只发生在 16.04 而不是在以前的版本中,罗德史密斯给出了一个很好的答案。在 Ubuntu 16.04 中,Ubuntu 开始强制安全启动到内核级别。在 16.04 之前,即使您打开了安全启动,Ubuntu 也不会真正强制您使用签名内核和签名内核模块。但在 16.04 中不再是这种情况。
这是相关的错误:https : //bugs.launchpad.net/ubuntu/+source/grub2/+bug/1401532
这是相关的蓝图:https : //blueprints.launchpad.net/ubuntu/+spec/foundations-x-installing-unsigned-secureboot
小智 6
另一种方法是创建您自己的密钥,将公共部分插入 MOK 数据库并使用私有部分对您编译的模块进行签名。在此处查看详细信息:升级到 Ubuntu 16.04 后无法加载“vboxdrv”(我想保持安全启动)
| 归档时间: |
|
| 查看次数: |
85870 次 |
| 最近记录: |